Nowy, groźny bug w OpenSSL

Każdy pamięta niedawne ujawnienie luki Heartbleed, która została nazwana "największym zagrożeniem w dziejach internetu". Bug pozwalał na kradzież danych z serwerów i niemożliwe jest podsumowanie, jakich szkód narobił. Tymczasem odkryto kolejną dziurę w OpenSSL..

Jeśli haker przebywa w tej samej sieci, co użytkownik, ma dzięki usterce możliwość deszyfrowania prywatnych danych. Jest to atak typu "man in the middle", polegający na podsłuchu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami - oczywiście bez ich wiedzy. Skala zagrożenia jest znacznie mniejsza niż Heartbleed, a luka znajduje się w wersjach OpenSSL z numerami 1.0.1 oraz 1.0.2-beta1. Użytkownicy wymienionych powinni je zmienić na wersje 1.0.1h. Podobnie tam, gdzie działają OpenSSL 0.9.8 oraz OpenSSL 1.0.0, należy zaktualizować wersje do (odpowiednio) 0.9.8za i 1.0.0m.

A dlaczego skala zagrożenia jest mniejsza? Ponieważ przede wszystkim na ataki narażone są osoby używające sieci publicznych, zwłaszcza Wi-fi. Ponadto przeciętny użytkownik posługuje się przeglądarką, która nie używa OpenSSL - wyjątkiem mobilna wersja Chrome. Żeby haker skorzystał z "dziurawego" OpenSSL, musi być ono zarówno po stronie serwera, jak i klienta, aby haker mógł przechwycić dane.


Zobacz również