Эксперты обнаружили в криптографическом пакете OpenSSL, который используется для шифрования данных при передаче информации от компьютера к серверу, очередную критическую «дыру». Она позволяет злоумышленникам расшифровать и модифицировать VPN-трафик, электронные письма и другую информацию, защищенную протоколом TLS, пишут Hitech.vesti.ru.
Хакеры могут обойти TLS-защиту только в том случае, если трафик передается или принимается сервером под управлением Open SSL версий 1.0.1 и 1.0.2-beta1. При этом неважно, OpenSSL какой версии установлен на стороне клиента.
Уязвимость получила название CVE-2014-0224. К счастью, «заплатка» к ней уже выпущена: ее можно загрузить с сайта OpenSSL. Администраторам, которые следят за работой OpenSSL-серверов, рекомендуется немедленно обновить библиотеки.
Новая «дыра», выявленная в OpenSSL, весьма серьезна, но не настолько опасна, как Heartbleed, которая была обнаружена восемь недель назад. Дело в том, что Heartbleed позволяла любому «выудить» из оперативной памяти веб-сервера ценные сведения (логины, пароли, cookie-файлы и т.п.) в незашифрованном виде, тогда как связанная с TLS-протоколом уязвимость предполагает нацеленную атаку на одно соединение. Кроме того, Heartbleed затронула оборудование, которым пользуются в домашних сетях и на предприятиях: маршрутизаторы, коммутаторы и файерволлы.
«Хорошие новости в том, что для проведения этих атак, во-первых, нужна позиция вида 'человек посередине' в отношении жертвы, а во-вторых, они не затрагивают клиенты, не применяющие OpenSSL (IE, Firefox, Chrome на компьютере и iOS, Safari и т.д.)», — прокомментировал сотрудник Google Адам Лэнгли, известный инженер-программист и специалист в области шифрования.