OpenSSL ha un nuovo bug , una vulnerabilità potenzialmente sfruttabile per bypassare la protezione crittografica delle comunicazioni HTTPS. Almeno questa volta, però, il rischio non è così grave e i cyber-criminali non avranno a disposizione una nuova arma di “distruzione di massa telematica” sul genere di Heartbleed e piaghe similari.
Il nuovo baco (CVE-2015-1793) consiste in un controllo errato della legittimità di un certificato di sicurezza SSL/TLS, un mancato check-up che potrebbe portare all’abuso di un certificato autentico per la generazione di uno fasullo: il secondo certificato verrebbe considerato come autentico, e il cyber-criminale in questione potrebbe sfruttarlo per impersonare un qualsiasi sito Web per compromettere le comunicazioni e i dati dell’utente.
La vulnerabilità che si presta ad attacchi di tipo man-in-the-middle è stata scoperta dagli sviluppatori di BoringSSL , implementazione alternativa di OpenSSL con cui gli ingegneri di Google vorrebbero porre fine ai tanti problemi di sicurezza emersi in questi mesi e anni nella libreria crittografica più (ab)usata di Internet.
Fortunatamente per la sicurezza della suddetta Internet, però, la vulnerabilità CVE-2015-1793 è presente all’interno di versioni di OpenSSL usate raramente nei sistemi operativi enterprise e in particolare nelle release 1.0.2c, 1.0.2b, 1.0.1n e 1.0.1o.
Questa volta la superficie di attacco risulta essere ridotta , sul fronte del Web, mentre rischi sussistono per quelle app e quei software sviluppati individualmente e quindi potenzialmente basati su una versione di OpenSSL vulnerabile. In casi del genere la responsabilità dell’aggiornamento è ovviamente tutta dello sviluppatore.
Alfonso Maruccia