OpenSSL, bug critico di giornata

OpenSSL, bug critico di giornata

open-sslOpenSSL, bug critico di giornata..

I ricercatori identificano l’ennesimo bug critico di OpenSSL, libreria vitale e super-bucata per le comunicazioni sicure su canali HTTP. Il rischio, in questo caso, non è a livello di Heartbleed.

OpenSSL ha un nuovo bug, una vulnerabilità potenzialmente sfruttabile per bypassare la protezione crittografica delle comunicazioni HTTPS. Almeno questa volta, però, il rischio non è così grave e i cyber-criminali non avranno a disposizione una nuova arma di “distruzione di massa telematica” sul genere di Heartbleed e piaghe similari.

Il nuovo baco (CVE-2015-1793) consiste in un controllo errato della legittimità di un certificato di sicurezza SSL/TLS, un mancato check-up che potrebbe portare all’abuso di un certificato autentico per la generazione di uno fasullo: il secondo certificato verrebbe considerato come autentico, e il cyber-criminale in questione potrebbe sfruttarlo per impersonare un qualsiasi sito Web per compromettere le comunicazioni e i dati dell’utente.

La vulnerabilità che si presta ad attacchi di tipo man-in-the-middle è stata scoperta dagli sviluppatori di BoringSSL, implementazione alternativa di OpenSSL con cui gli ingegneri di Google vorrebbero porre fine ai tanti problemi di sicurezza emersi in questi mesi e anni nella libreria crittografica più (ab)usata di Internet.

Fortunatamente per la sicurezza della suddetta Internet, però, la vulnerabilità CVE-2015-1793 è presente all’interno di versioni di OpenSSL usate raramente nei sistemi operativi enterprise e in particolare nelle release 1.0.2c, 1.0.2b, 1.0.1n e 1.0.1o.

Questa volta la superficie di attacco risulta essere ridotta, sul fronte del Web, mentre rischi sussistono per quelle app e quei software sviluppati individualmente e quindi potenzialmente basati su una versione di OpenSSL vulnerabile. In casi del genere la responsabilità dell’aggiornamento è ovviamente tutta dello sviluppatore.