Nici nu s-a stins bine scandalul legat de Heartbleed, vulnerabilitatea majoră tot din OpenSSL pe baza căreia oricine știa cum putea să desfacă și să privească nestingherit în interiorul unei conexiuni criptate – marea majoritate a celor existente pe internet – și avem parte de unul nou: o altă vulnerabilitate în OpenSSL, veche de mai bine de 10 ani, permite la rândul ei unui atacator să descifreze mesajele criptate.
Trăiască software-ul Open Source, cel în care vulnerabilitățile sunt detectate rapid de entuziaști și remediate la fel de rapid!
Apropo, vulnerabilitatea nouă din OpenSSL există din primul moment în care software-ul a ajuns pe piață – adică de prin 1998. După scandalul Heartbleed, japonezul Masashi Kikuchi s-a decis să analizeze mai în detaliu funcționarea și a făcut recenta descoperire. Pe scurt, noua problemă e responsabilă de facilitatea unui atac prin care o persoană rău voitoare poate să se interpună în traficul ”securizat” dintre doi clienți OpenSSL (și doar dintre doi clienți OpenSSL) și să impună folosirea unor opțiuni de criptare ce se bazează pe o cheie publică, considerată ca fiind privată.
Tradus pe înțelesul tuturor, dacă cineva dorește și are cum să se impună între traficul realizat de server-e cu OpenSSL poate să impună alegerea pentru criptare a unei chei cunoscute de el, având astfel prilejul să decripteze traficul și să vadă tot ceea ce se transmite teoretic securizat. Când s-ar putea întâmpla asta? De exemplu oriunde accesați netul de pe conexiuni publice.
Restricțiile legate de folosirea în ambele capete ale conexiunii a serviciilor OpenSSL și existența unui man in-the-middle, face ca impactul să nu fie chiar așa de mare ca în cazul Heartbleed. Majoritatea browser-elor folosesc implementări proprii pentru criptare și nu sunt afectate.
Printre cele care sunt totuși afectate se numără și WebKit, engine-ul folosit de browser-ele de pe Android. Asta înseamnă că în principiu, orice gadget cu Android e expus riscului ca legăturile criptate realizate prin browser să nu fie chiar așa de sigure.
Rezolvarea problemei presupune update-ul la OpenSSL. Încă o dată!
via wired