В библиотеке шифрования OpenSSL, которую используют две трети интернет-ресурсов, обнаружили критическую уязвимость, появившуюся еще в первой версии программного пакета – в 1998 году. О баге и его исправлении сообщается 5 июня в бюллетене OpenSSL Foundation, курирующего разработку библиотеки.
Уязвимость нашел японский программист Масаси Кикути (Masashi Kikuchi), который написал в своем блоге, что занялся исследованием кода библиотеки после обнаружения другого критического бага – Heartbleed – в начале апреля 2014 года.
Найденный баг позволяет злоумышленнику принудительно менять политику шифрования двух пользователей (или пользователя и сервера) OpenSSL. В этом случае библиотека использует ненадежные ключи для шифрования данных. Если поток таких данных перехвачен (например, прослушиванием трафика беспроводных соединений Wi-Fi), то злоумышленник может впоследствии расшифровать всю переданную информацию.
Кикути подчеркнул, что эта серьезная уязвимость не была найдена в течение 16 лет, поскольку исходный код OpenSSL не проходит должную проверку перед открытым распространением для всех желающих.
Ранее значительному количеству интернет-сайтов пришлось обновлять свои версии OpenSSL из-за уязвимости Heartbleed, которая появилась в коде в 2012 году и в течение двух лет оставалась незамеченной. Баг позволял злоумышленнику отправлять на сервер такие запросы, что в ответ он получал не только данные, касающиеся своего соединения, но и информацию о соединениях других пользователей, в том числе логины, пароли и ключи шифрования.
На момент обнаружения Heartbleed уязвимости были подвержены около 17% серверов, тогда как библиотеку OpenSSL в том или ином виде используют до 65% серверов, в том числе и поисковик Google.