Hlavní navigace

OpenSSL zalepilo další závažnou díru, jež byla přehlížena od roku 1998

9. 6. 2014

Sdílet

 Autor: Redakce

V dubnu internetem otřásla chyba v zabezpečení OpenSSL, kvůli které bylo relativně snadné získat mj. přihlašovací údaje k webovým službám. Velká část internetu byla potenciálně kompromitována, chybu ke šmírování zneužívala dokonce i NSA. Bylo by pošetilé domnívat se, že nyní už je všechno v pořádku, zranitelná místa se zkrátka v softwaru budou objevovat vždycky.

K tématu: Většina webu byla dva roky ohrožená kritickou dírou v OpenSSL. Měňte si hesla

Tatsuya Hayashi, jenž novou díru objevil, ji důležitostí přirovnává ke zmíněné aféře Heartbleed. Dokonce podle něj může být ještě závažnější, neboť může být zneužita k přímému sledování lidí. Útočník by ale musel používat stejnou síť jako vy. V úvahu tedy připadají především veřejné hotspoty. Mohl by vynutit použití slabého šifrovací klíče mezi obětí a vzdáleném serverem.

Ten by pak nebylo tak obtížné prolomit. V nejhorším případě by útočník pozměnil obsah, takže by oběť prostřednictvím podvodné stránky nevědomky sdělila narušiteli i citlivé údaje. „Oběti nezaznamenají žádnou stopu po útoku,“ řekl Hayashi pro The Guardian. Postiženy jsou všechny verze OpenSSL kromě té nejnovější.

 

Závažnost shazuje nutnost být na stejné bezdrátové síti. Za další většina uživatelů používá prohlížečů může být v klidu, neboť prohlížeče typicky nepoužívají OpenSSL, týká se to Internet Exploreru, Firefoxu, Chromu pro desktop a iOS atp. Postižen ale může být Chrome pro Android.

WT100

Děravé OpenSSL by musely používat obě strany, takže jen co jedna knihovnu upgraduje, je po problému. Ten nicméně sahá až do roku 1998. Heartbleed naproti tomu postihl verze nejvýše zhruba dva roky staré. Děr se v OpenSSL našlo více. To, že chyba roky unikala přispěvatelům projektu, OpenSSL degraduje jako spolehlivé bezpečnostní řešení.

Zdroj: The Guardian via Neowin