Non solo Microsoft, anche il mondo Open Source scopre di non essere perfetto, e fortunatamente l’annuncio arriva prima che qualche codice maligno si diffonda con lo scopo di sfruttare il buco scoperto.
Tre falle «critiche», scoperte all’interno del progetto OpenSSL (Secure Socket Layer), due delle quali venute a galla durante un Denial-Of-Device creato ad hoc nell’ambito di alcuni test di sicurezza su sistemi del governo inglese. A darne l’annuncio è Mark Cox, sviluppatore interno al OpenSSL Security Group, il quale sottolinea come la falla sia stata scoperta prima che qualunque sfruttamento di origine maligna fosse intentato.
OpenSSL è una libreria che permette lo scambio sicuro dei dati tra Web Serve e altri dispositivi. Viene utilizzata in molti ambiti, tra i quali il pagamento nei sistemi di commercio elettronico.
A distanza di un anno dall’ultimo bug scoperto, SSL torna a distribuire patch per il perfezionamento della sicurezza. Tutte le release di OpenSSL da 0.9.6j e 0.9.7b in poi sono da patchare, ed al momento sia Red Hat che SuSe e Cisco System avrebbero già dato avvio alla distribuzione dei fix.
La corsa alla patch è sicuramente incoraggiata dall’esperienza: quando nel Settembre 2002 si diffuse il noto Linux.Slapper.Worm, in poche ore 3500 macchine furono colpite dal grossolano sistema file-sharing ricreato dal virus e le responsabilità del danno furono attribuite al ritardo con cui troppi sistemi furono patchati.