Het OpenSSL Project, de ontwikkelaar van de veelgebruikte OpenSSL library, publiceert op 1 november een patch voor een kritieke kwetsbaarheid.

Dit is de eerste kritieke kwetsbaarheid in OpenSSL sinds 2016 en de tweede in de geschiedenis van het project. Om te voorkomen dat cybercriminelen de patch analyseren om een exploit te ontwikkelen worden de volledige details van de kwetsbaarheid pas bekendgemaakt nadat de patch beschikbaar is.

Het probleem is naar verwachting niet van invloed op OpenSSL-versies vóór 3.0, aangezien de patch wordt opgenomen in versie 3.07. Dit impliceert dat apparaten met versies vóór 3.0 (gelanceerd in 2021) immuun zijn voor het probleem.

Alle versies na 3.0 zijn getroffen

Een bezorgde gebruiker vroeg het OpenSSL Project op Twitter waarom de releasedatum van de patch bekend wordt gemaakt voordat de patch beschikbaar is. Het aankondigen van een patch kan cybercriminelen in staat stellen om de updategeschiedenis van een softwareproject te ‘scouren’ en de kwetsbaarheid te vinden.

Mark Cox, voormalig securityhood van Red Hat en medeoprichter van OpenSSL, antwoordde dat scouren onwaarschijnlijk is vanwege het aantal wijzigingen in 3.0 en het gebrek aan context over de dreiging.

In 2016 worstelde het OpenSSL Project met een bug die vier dagen lang onontdekt remote code execution (RCE) mogelijk maakte. De nieuwe kwetsbaarheid heeft gevolgen voor alle versies na 3.0, gelanceerd in september 2021.

Gigantisch risico

OpenSSL is ’s werelds meest gebruikte open-source encryption library. OpenSLL wordt toegepast door de meeste HTTPS-websites en diverse webservers. Als gevolg kunnen kritieke kwetsbaarheden riskant zijn voor een scala aan bedrijven en individuen.

Volgens het beleid van het OpenSSL Project moet de dag en het tijdstip van kritieke kwetsbaarheden aan alle gebruikers bekend worden gemaakt. Bovendien krijgen sommige organisaties op voorhand updates aangeboden, evenals briefings over de aard en ernst van het probleem.

Tip: Hackers misbruiken kritieke kwetsbaarheden in Veeam Backup