کشف یک خطر دیگر از «خونریزی قلبی»

خبرگزاری مهر: مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای از آسیب‌پذیری دیگری از OpenSSL و امکان رمزگشایی اطلاعات محرمانه کاربران خبر داد. پس از اعلام آسیب‌پذیری فراگیر تاریخ اینترنت که در ۲۰ فروردین‌ماه امسال اعلام جهانی شد که به «خونریزی قلبی» شهرت یافت و منجر به افشای اطلاعات مهمی از سایت‌های سراسر جهان شد این بار آسیب‌پذیری دیگری مربوط به OpenSSl کشف شده که به مهاجم اجازه می‌دهد ترافیک رمز شده SSl/TLS میان کلاینت و سرور را تغییر دهد یا رمزگشایی کند. مرکز ماهر اعلام کرد: در این رخنه اینترنتی، به‌منظور اجرای حمله موفق، مهاجم نیازمند شنود ارتباط میان کلاینت هدف و سرور (MITM) است. این آسیب‌پذیری با کد CVE-۲۰۱۴-۰۲۲۴ در نسخه‌های Openssl۱.۰.۱ و جدیدتر و ۱.۰.۲-beta۱ شناخته شده است. به‌دلیل ضعف در الگوریتم رمزنگاری Openssl و با سوء‌استفاده از آسیب‌پذیری شناسایی شده در ارتباط handshake میان کلاینت و سرور و الزام آنها به استفاده از کلید رمز قابل حدس (CWE-۳۲۵)، می‌توان حمله توقف در سرویس‌دهی را به‌دلیل امکان ارسال متناوب پیام‌های (C(CCS)ChangeCipherSpec در ارتباط SSl/TLS اجرا کرد. بر این اساس نسخه‌های آسیب‌پذیر از سوی مرکز ماهر اعلام شده است که شامل تمامی کلاینت‌هایی که از تمامی نسخه‌های OpenSSl استفاده می‌کنند می‌شود. همچنین آسیب‌پذیری مذکور در نسخه‌های ۱.۰.۱ یا جدیدتر و ۱.۰.۲-beta۱ شناسایی شده است؛ در همین حال مرورگرهای مطرح همچون Chrome، Firefox، IE و Safari در خطر نبوده ولی نسخه‌ای از مرورگرها مانند Chrome روی Android که از OpenSSL استفاده می‌کنند آسیب‌پذیر هستند. به کاربران اینترنت توصیه شده است که برای رفع آسیب‌پذیری، باید از به روز رسانی‌های ارائه شده روی وب‌سایت Openssl و ارتقا به نسخه‌های ۰.۹.۸za، ۱.۰.۰m و ۱.۰.۱h استفاده کنند.