OpenSSL: nuova vulnerabilità dopo Heartbleed, a rischio le comunicazioni private

Il nuovo bug in OpenSSL è già stato patchato: fortunatamente, stavolta c'è poco da preoccuparsi.

lock

Neanche il tempo di riprendersi da Heartbleed, che un nuovo bug in OpenSSL torna a minacciare le comunicazioni effettuate attraverso il pacchetto di sicurezza. Fortunatamente, rispetto a quella precedente la nuova vulnerabilità permetterebbe a un malintenzionato di visualizzare e modificare il traffico effettuato tra client e server OpenSSL, a patto però di essere in possesso di alcune specifiche versioni del software del server e di avere conoscenze adeguate per quello che viene definito un attacco complicato.

Già patchata, la vulnerabilità è stata scoperta a maggio dal ricercatore Masashi Kikuchi, che ha dettagliato la possibilità di un attacco di tipo "man-in-the-middle", grazie al quale mettersi praticamente in mezzo (come suggerisce il nome) alla comunicazione tra client e server, spesso dopo aver compromesso un router per modificare l'instradamento dei dati.

Leggi: Heartbleed, 300.000 server ancora vulnerabili dopo un mese

Le versioni di OpenSSL client e server incriminate sono la 1.0.1 e la 1.0.2-beta1: inutile dire che è caldamente raccomandato un aggiornamento come precauzione. Proprio alla luce di Heartbleed e delle sue conseguenze, l'ingegnere in sicurezza di Google, Adam Langley, ha confermato che i browser come Internet Explorer, Firefox, Chrome, Safari, eccetera non sono vulnerabili, in quanto non usano OpenSSL.

L'intera minaccia costituita dalla nuova vulnerabilità va dunque presa con la dovuta calma, senza preoccuparsi eccessivamente a meno che non siate un amministratore di sistema: anzi, il fatto che vengano scoperti altri bug all'interno di OpenSSL suggerisce che, proprio dopo Heartbleed, l'attenzione sulla scoperta di altre falle sia aumentata.

Heartbleed, la NSA sapeva? La vulnerabilità sarebbe stata usata per oltre 2 anni

Via | ArsTechnica.com
Foto | Flickr

  • shares
  • Mail