Comunicações estão em risco com vulnerabilidade crítica em OpenSSL
A Symantec alerta para a recomendando de uso da versão mais recente da popular implementação de código aberto dos protocolos SSL/TLS em função de uma nova vulnerabilidade crítica em OpenSSL. Segundo a empresa de segurança, essa brecha poderia permitir a interceptação de comunicações seguras por invasores capazes de “enganar” um computador-alvo, para que ele aceitasse um certificado digital bogus como válido.
De acordo com a companhia, isso facilitaria ataques do tipo man-in-the-middle (MITM, do português “Homem no Meio”), nos quais invasores poderiam “escutar” conexões com serviços seguros, como bancos ou e-mails. A fabricante esclarece que essa é uma vulnerabilidade em OpenSSL e não uma falha com SSL/TLS ou certificados emitidos pela Symantec.
A grande proporção desse risco se deve ao fato de o OpenSSL ser uma das implementações mais amplamente usadas dos protocolos de criptografia SSL e TLS. O software de código aberto é facilmente encontrado em dispositivos conectados à internet, o que abrange dois terços de todos os servidores web.
As versões OpenSSL 1.0.2c, 1.0.2b, 1.0.1n, e 1.0.1o são as afetadas pela vulnerabilidade, informa. Estão de fora usuários das versões 1.0.0 e 0.9.8. Usuários de versões 1.0.2b e 1.0.2c são aconselhados a fazer o upgrade imediato para 1.0.2d. Usuários das versões 1.0.1n e 1.0.1o são aconselhados a fazer o upgrade imediato para 1.0.1p.
A nova Vulnerabilidade de Falsificação de Certificado de Cadeias Alternativas (Alternative Chains Certificate Forgety Vulnerability) já tem uma atualização de segurança emitida pelo projeto OpenSSL.
