کشف حفره امنیتی جدید در OpenSSL

بر اساس این اطلاعیه، مشتریان OpenSSL در تمامی نسخه ها آسیب پذیر هستند، اما سرورها تنها در1.0.1 OpenSSL  و 1.0.2-BETA1 آسیب پذیر می باشند. به همین دلیل به کاربران نسخه های قدیمی توصیه می شود تا با احتیاط نرم افزار خود را ارتقا دهند.

این آسیب پذیری در ابتدا در ماه می توسط محقق امنیتی،Masashi Kikuchi، کشف شده و تیم OpenSSL  از آن زمان در حال توسعه وصله ای برای آن می باشد. این مسئله می تواند به مهاجم اجازه دهد تا برای کاهش امنیت ارتباطات بین کلاینت و سرور، از OpenSSL استفاده کند.

حمله از طریق این آسیب پذیری کاملا پیچیده است. این حمله می تواند در هر دو طرف وجود داشته باشد و در پی آن حمله " man-in-the-middle " مورد استفاده قرار گیرد.  در این حمله مهاجم می تواند رمزگشایی کند و ترافیک را از سرویس گیرنده و سرور مورد هدف تغییر دهد.

هنوز معلوم نیست که چه تعداد از برنامه های کاربردی از این بسته امنیتی استفاده کرده اند، اما مرورگرهایی مانند کروم، فایرفاکس و اینترنت اکسپلورر، از آنجایی که از OpenSSL  استفاده نکردند، باید امن باشند.

از سوی دیگر، هنوز مشخص نیست که آیا این آسیب پذیری مورد سوء استفاده قرار گرفته است یا خیر و اگر چنین است، چند بار. به نظر می رسد که این حفره امنیتی مدت زمان زیادی است که وجود دارد. با توجه به گفته های Adam Lengley، مهندس ارشد نرم افزار گوگل، عمر این باگ 15 سال است که نشانگر وجود پیامدهای بسیار جدی در آنست.