Эксперты обнаружили в криптографическом пакете OpenSSL, который используется для шифрования данных при передаче информации от компьютера к серверу, очередную критическую "дыру". Она позволяет злоумышленникам расшифровать и модифицировать VPN-трафик, электронные письма и другую информацию, защищенную протоколом TLS.

Хакеры могут обойти TLS-защиту только в том случае, если трафик передается или принимается сервером под управлением Open SSL версий 1.0.1 и 1.0.2-beta1. При этом неважно, OpenSSL какой версии установлен на стороне клиента.

Уязвимость получила название CVE-2014-0224. К счастью, "заплатка" к ней уже выпущена: ее можно загрузить с сайта OpenSSL. Администраторам, которые следят за работой OpenSSL-серверов, рекомендуется немедленно обновить библиотеки.

Новая "дыра", выявленная в OpenSSL, весьма серьезна, но не настолько опасна, как Heartbleed, которая была обнаружена восемь недель назад. Дело в том, что Heartbleed позволяла любому "выудить" из оперативной памяти веб-сервера ценные сведения (логины, пароли, cookie-файлы и т.п.) в незашифрованном виде, тогда как связанная с TLS-протоколом уязвимость предполагает нацеленную атаку на одно соединение. Кроме того, Heartbleed затронула оборудование, которым пользуются в домашних сетях и на предприятиях: маршрутизаторы, коммутаторы и файерволлы.

"Хорошие новости в том, что для проведения этих атак, во-первых, нужна позиция вида 'человек посередине' в отношении жертвы, а во-вторых, они не затрагивают клиенты, не применяющие OpenSSL (IE, Firefox, Chrome на компьютере и iOS, Safari и т.д.)", — прокомментировал сотрудник Google Адам Лэнгли, известный инженер-программист и специалист в области шифрования.

Источник: Ars Technica