Opvolger van Heartbleed-bug in OpenSSL gevonden

Abonneer je gratis op Techzine!

Er is een nieuwe kwetsbaarheid in OpenSSL gevonden. Met een man-in-the-middle-aanval is het mogelijk om de OpenSSL-verbinding af te luisteren. Twee maanden geleden werd bekend dat OpenSSL-verkeer gevoelig was voor een grote kwetsbaarheid, ditmaal zijn de gevolgen minder groot.

Met een man-in-the-middle-aanval wordt het verkeer tussen zender en ontvanger opgevangen en omgeleid. Tussen zender en ontvanger kan er van alles met de datapakketten gebeuren. Als een OpenSSL-verbinding niet voldoende is versleuteld blijkt het mogelijk om de communicatie te kraken en dus de inhoud uit te lezen. Het zou tevens mogelijk zijn om datapakketten aan te passen en weer door te sturen.

De kwetsbaarheid doet zich echter maar in een beperkt aantal gevallen voor. Zo is het enkel mogelijk als zowel de zender als de ontvanger gebruikmaken van OpenSSL om de communicatie te versleutelen. De meeste populaire webbrowsers gebruiken bijvoorbeeld al een andere versleuteling. Wel is het zo dat Google Chrome voor Android gebruikmaakt van OpenSSL.

De kwetsbaarheid werd meer dan een maand geleden ontdekt en aangekaart bij de mensen achter OpenSSL. Het ontwikkelen van een patch kostte veel tijd, maar deze is vandaag vrijgegeven. Het is nu twee maanden geleden dat bekend werd dat OpenSSL vatbaar was voor een flinke kwetsbaarheid die Heartbleed werd genoemd.