В пакете SSL обнаружена еще одна серьезная уязвимость

06 Июнь 2014

В используемом для шифрования данных при передаче через Сеть пакете OpenSSL обнаружена очередная критическая «уязвимость». С ее помощью злоумышленники потенциально могут расшифровывать VPN-траффик компьютеров «жертв» и даже вносить в него изменения, несмотря на факт защиты протоколом TLS.

Правда, воспользоваться новой «дырой» в TLS-защите можно только в случае передачи траффика через сервер под управлением Open SSL 1.0.1 или 1.0.2-beta1. Для новой уязвимости совершенно неважно, какая версия OpenSSL установлена на клиентской стороне.

Обнаруженной уязвимости присвоено обозначение CVE-2014-0224. К счастью, на сайте OpenSSL уже выложена «заплатка» для этой уязвимости. Администраторы, ответственные за работу OpenSSL-серверов, должны немедленно обновить библиотеки.

Хоть выявленная в OpenSSL уязвимость довольно опасная, она все же уступает обнаруженной ранее уязвимости Heartbleed. Последняя давала киберпреступникам возможность получать из ОЗУ компьютеров «жертв» абсолютно незашифрованные ценные сведения, в том числе пароли, логины, cookie-файлы и т.д. Но чтобы мошенники могли воспользоваться «дырой» в TLS-протоколе, им необходимо осуществлять нацеленные на отдельные соединения атаки. Кроме того, Heartbleed затрагивал оборудование домашних сетей и предприятий.