Corsi on-line

Pericolosa vulnerabilità a carico di OpenSSL

OpenSSL, la nota implementazione Open Source dei protocolli SSL (Secure Sockets Layer) e TLS (Transport Layer Security) scritta in linguaggio C per l’esecuzione di funzionalità crittografiche, presenterebbe una pericolosa vulnerabilità teoricamente capace di minacciare le chiavi crittografiche e gli interscambi privati in alcune delle piattaforme più frequentate della Rete.

bug OpenSSLPer la precisione, la problematica riguarderebbe il protocollo dalla versione 1.0.1 fino alla 1.0.1f coinvolgendo persino OpenSSL 1.0.2 che è attualmente in fase di Betatest; fortunatamente la falla non sarebbe stata riscontrata anche in OpenSSL 1.0.1g, la release più recente tra quelle rilasciate fino ad oggi, di conseguenza dovrebbe bastare un aggiornamento a quest’ultima per proteggersi da eventuali tentativi di attacco.

Una mancata migrazione alla versione ritenuta sicura potrebbe mettere a rischio eventuali transazioni anche monetarie effettuate attraverso il protocollo HTTPS (HyperText Transfer Protocol over Secure Socket Layer) nonché le chiavi di cifratura utilizzate; secondo gli analisti di Heartbleed (la falla è stata scoperta dal Google Security Team), quest’ultima sarebbe comunque presente OpenSSL già dal primo trimestre del 2012.

Nello specifico, la vulnerabilità coinvolgerebbe l’estensione heartbeat, in caso di exploit essa sarebbe in grado di dar vita ad un fenomeno di memory leak, sostanzialmente una perdita o una fuoriuscita di memoria, motivata da un’azione malevola attraverso la quale prendere possesso di chiavi associate a certificati X.509, credenziali di accesso, messaggistica, posta elettronica, comunicazioni e documenti riservati; il tutto senza acquisire alcun privilegio particolare o dati per l’autenticazione.

Ad essere esposto al pericolo descritto sarebbe attualmente oltre il 65% dei siti Web in fase di produzione, un market share sicuramente destinato a diminuire grazie alla disponibilità di un semplice aggiornamento e alla possibilità di utilizzare una emergency patch creata dallo stesso staff di OpenSSL.

Via Heartbleed

Post correlati
I più letti del mese
Tematiche