Momenteel is de nasleep van Heartbleed nog steeds niet voorbij. Toch is er al weer een tweede lek ontdekt in het open source protocol voor beveiligde verbindingen over het internet. Het nieuwe lek zou al zo’n tien jaar bestaan maar men heeft het pas een paar dagen geleden bekend gemaakt. Maar gelukkig is de impact wel minder groot dan bij Heartbleed. Bij het huidige ‘huidige’ probleem moeten de server als de client van OpenSLL gebruik maken om het te kunnen misbruiken. Veel gebruikers zijn veilig want providers als Internet Explorer, Safari, FireFox en Chrome gebruiken een andere clientprotocol. De gebruikers van andere browsers en apps zijn snel kwetsbaar. Het is mogelijk om een man-in-the-middle aanval op te zetten, dit kan bijvoorbeeld via accesspoint in een openbare wifi-hotspot zegt Kasashi Kikuchi. Dit is een Japanse ontdekker van de softwarefout CVE-2014-0224. Wanneer de hacker eenmaal bezig is kan hij in het ergste geval alle communicatie decoderen en inzien.
Bevestiging van het lek
De organisatie van de ontwikkelaars van OpenSSL is OpenSSL.org. Inmiddels hebben zij in een veiligheidsbulletin het lek bevestigd en de fix voor het probleem is beschikbaar. Bij de serverkant weten we dat het gaat om de versies 0.9.1c tot en met1.0.2-beta1, die deze kwetsbaarheid bevatten. Je kunt het beste de patch zo snel mogelijk toepassen.
Let goed op
Het is belangrijk het nieuws over een lek altijd serieus te nemen want iedereen kan hier problemen door krijgen. Zorg er daarom altijd voor dat je weet of je hier ook problemen door kunt krijgen en zo ja kijk dan naar het nieuws zodat je ook weet wat je er aan kunt doen. Veel problemen zijn namelijk snel opgelost en daar kun jij dan ook gebruik van maken. Het is wel snel dat er nu weer een lek is, maar gelukkig is er ook snel weer een oplossing voor zodat het niet voor verdere problemen zorgt.
Nieuwe lek open source protocol
Geen opmerkingen:
Een reactie posten