K tématu: Většina webu byla dva roky ohrožená kritickou dírou v OpenSSL. Měňte si hesla
Tatsuya Hayashi, jenž novou díru objevil, ji důležitostí přirovnává ke zmíněné aféře Heartbleed. Dokonce podle něj může být ještě závažnější, neboť může být zneužita k přímému sledování lidí. Útočník by ale musel používat stejnou síť jako vy. V úvahu tedy připadají především veřejné hotspoty. Mohl by vynutit použití slabého šifrovací klíče mezi obětí a vzdáleném serverem.
Ten by pak nebylo tak obtížné prolomit. V nejhorším případě by útočník pozměnil obsah, takže by oběť prostřednictvím podvodné stránky nevědomky sdělila narušiteli i citlivé údaje. „Oběti nezaznamenají žádnou stopu po útoku,“ řekl Hayashi pro The Guardian. Postiženy jsou všechny verze OpenSSL kromě té nejnovější.
Závažnost shazuje nutnost být na stejné bezdrátové síti. Za další většina uživatelů používá prohlížečů může být v klidu, neboť prohlížeče typicky nepoužívají OpenSSL, týká se to Internet Exploreru, Firefoxu, Chromu pro desktop a iOS atp. Postižen ale může být Chrome pro Android.
Děravé OpenSSL by musely používat obě strany, takže jen co jedna knihovnu upgraduje, je po problému. Ten nicméně sahá až do roku 1998. Heartbleed naproti tomu postihl verze nejvýše zhruba dva roky staré. Děr se v OpenSSL našlo více. To, že chyba roky unikala přispěvatelům projektu, OpenSSL degraduje jako spolehlivé bezpečnostní řešení.
Zdroj: The Guardian via Neowin
ČLÁNKY DO MAILU