Magyar Opera

A Heartbleed bug és az Opera

Bizonyára mindenki hallott már az OpenSSL szolgáltatás Heartbleed nevű sebezhetőségéről az elmúlt napokban. A technikai részletekbe nem megyünk bele. A hiba lényegét jól összefoglalja ez az xkcd comic strip.

Felmerül a kérdés, hogy az Opera böngésző milyen téren érintett. Átlagos felhasználók szempontjából a rövid válasz az, hogy sehogy. Ennél azonban kicsit részletesebb a jelentés, ami az Opera blogján jelent meg.

A régi Opera (Presto) használta ugyan az OpenSSL-t, de azt a modulját nem, amiben a sebezhetőség megjelent, így a Prestót használó programok (régi Opera, Mini, Mail) nem érintettek. Egyetlen kivétel van, a régi Opera automatikus frissítője, ami használta a hibás modult, viszont a program csak az Opera szervereihez csatlakozott, és több különböző azonosítást is használt, így a hiba kihasználása inkább csak elméleti lehetőség. Ennek ellenére valószínűleg lesz egy biztonsági frissítés a 12-tes verzióhoz.

Az új Opera (Chromium) asztali verziói nem használják az OpenSSL-t, így nem érintettek. Az Androidos és iOS-es verziók használják, de a régi Operához hasonlóan azt a modult nem, ami sebezhető, így szintén nem érintettek.

Összességében az Opera által gyártott böngészők nem sebezhetőek ezzel a hibával. Ez viszont nem vonatkozik a beépülőkre (pluginek). Azokkal kapcsolatban a gyártók (Adobe, Oracle, stb) az illetékesek.

Az Opera által nyújtott különböző webes szolgáltatások közül több is használta a hibás modult, de csak a beléptetés után, így a jelszavak ilyen szempontból biztonságban voltak. Azóta az Opera lecserélte a tanúsítványait. A külső féltől származó szolgáltatások esetében (blog, fórum) viszont az Opera nem tudja garantálni, hogy nem kerültek ki a jelszavak, ezért ezeken a helyeken érdemes cserélni.

A bejegyzés trackback címe:

https://magyaropera.blog.hu/api/trackback/id/tr986046013

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Prefetch 2014.04.18. 00:48:40

Tanusítványok cseréje hogyan zajlik? Ilyenkor nekem le kéne tölteni az új tanusítványokat és importálin? Főleg a régi Operánál érdkelne ez, mert ott kikapcsoltam mindenféle automatikus frissítést.

Nekomajin · http://nekomajin.wordpress.com 2014.04.18. 09:37:48

@Prefetch:
Szerintem nem tudsz olyan dolgot kikapcsolni, hogy ezzel neked bármilyen dolgod lenne.

WoodrowWilson 2014.04.19. 21:29:52

OFF
Grammarnazi on
12-es, nem 12-tes. Gondolom ez a -val, -vel rag hiányának túlkompenzációja, csakhogy itt nincs semmi, ami hasonuljon.

csakugycsakugy 2014.04.22. 15:56:20

Megjött a biztonsági frissítés a 12-eshez? :O :D
www.opera.com/download/guide/?os=windows&ver=12.17&local=y

Changelog-ot én még nem találtam: www.opera.com/docs/changelogs/unified/1217/ (Az oldal nem található)
Hírt se látok még róla sehol (hivatalos oldalon).

Ha nem is lesz a régi 12-esbe már semmi újdonság, de amíg az új Opera gyerek cipőben van, addig legalább (néha) kapunk biztonsági frissítést a régihez... :)
süti beállítások módosítása