Descoberto nova vulnerabilidade no OpenSSL
A recente vulnerabilidade “Heartbleed” ainda não foi esquecida e já foi descoberto um novo bug presente no OpenSSL. Este bug foi recentemente divulgado, juntamente com a correção para os pacotes do pacote open-source.
De acordo com o portal Engadget, a vulnerabilidade permitia que o trafego entre o cliente e o servidor de OpenSSL fosse modificado. Apesar de aparentar ser grave, a potencial exploração desta vulnerabilidade é limitada, uma vez que apenas pode ser realizada em versões especificas do OpenSSL e caso ambas as partes possuam a mesma versão.
A vulnerabilidade foi originalmente descoberta em Maio pelo investigador Masashi Kikuchi, tendo apenas sido revelada ontem pela organização responsável pelo OpenSSL, juntamente com a correção da mesma.
Os utilizadores de sistemas ou aplicações que utilizem o OpenSSL 1.0.1 ou 1.0.2-beta1 deverá realizar a atualização para a versão mais recente.
De acordo com Adam Langley, engenheiro de segurança na Google, a vulnerabilidade não afeta os principais navegadores no mercado, uma vez que estes não se baseiam no OpenSSL. No entanto existem várias aplicações que podem basear-se nesta tecnologia, embora muitas das vezes essa informação não seja publicamente revelada.