OpenSSL, scoperte nuove vulnerabilità

Dopo la scoperta del famoso bug Heartbleed, il codice del protocollo crittografico open source viene continuamente esaminato dai ricercatori di sicurezza di tutto il mondo. Ciò ha permesso di individuare altre sette vulnerabilità nelle versioni 0.9.8, 1.0.0, 1.0.1 e 1.0.2 di OpenSSL, la più grave delle quali potrebbe essere sfruttata per eseguire un attacco man-in-the-middle. Fortunatamente sono già disponibili le patch che gli amministratori dei siti dovrebbero installare al più presto.

Il bug più pericoloso riguarda tutte le versioni client di OpenSSL e le versioni server 1.0.1 and 1.0.2-beta1, ma per precauzione è consigliabile aggiornare anche le versioni precedenti. La vulnerabilità consente ad un malintenzionato di decifrare il traffico di rete (web, email e VPN) protetto dal protocollo TLS. L’attacco man-in-the-middle viene eseguito monitorando la connessione tra il server e l’utente finale per decifrare e modificare il traffico, protetto da una chiave crittografica debole, prima dell’invio verso la destinazione prefissata.

Il problema di sicurezza è chiaramente meno grave di Heartbleed, in quanto l’attacco richiede l’uso di un dispositivo di rete compromesso, ad esempio un router di un hotspot pubblico. Inoltre, l’exploit funziona solo se server e client eseguono una versione vulnerabile di OpenSSL. In ogni caso, è consigliabile procedere all’aggiornamento.

Un ingegnere di Google ha confermato che le versioni desktop di Chrome, Firefox, Internet Explorer e Safari non sono vulnerabili, dato che non usano OpenSSL. Chrome per Android, invece, è vulnerabile, ma Google ha rilasciato subito una nuova versione del browser. Con le nuove release 0.9.8za, 1.0.0m e 1.0.1h sono state inoltre risolte le falle che consentono di eseguire attacchi DoS (Denial of Service) e codice arbitrario su server e client.