کشف حفره امنیتی در OpenSSL که از سال 1998فعال بوده‌است

ارسال شده در 24 خرداد 1393 | دسته‌بندی: اخبار ، امنیت ، عمومی

ماهر می‌گوید: محققان ژاپنی حفره ای را در OpenSSL کشف کردند که بیش از 16 سال فعال بوده و در اختیار مجرمان سایبری قرار داشته است.

Masashi Kikuchi یکی از محققان امنیتی در Lepidum اظهار داشت که چگونه آسیب پذیری های تزریق CCS قبل از سال 1998 فعال بوده است. کدهای سوء استفاده، یک پروتکل استفاده شده در انتهای یک ارتباط SSL با نام ChangeCipherSpec را تحت تاثیر قرار می دهند.

هکرهایی که از وجود این نقص باخبر بودند توانسته اند با استفاده از حملات MitM، داده های رمزگذاری شده بین سرورهایOpenSSL و کلاینت را ردگیری و رمزگشایی نمایند.

Kikuchi گقت: بزرگترین دلیلی که باعث شده است تا این حفره ها پس از 16 سال شناسایی شوند آن است که بررسی کدها ناکافی بوده است. اگر بازدید کنندگان کد از تجربه کافی برخوردار بودند، باید با همان روشی که کدهای خود را بازبینی می کنند، کدOpenSSL را مورد بازبینی قرار می دادند.

تیم ارتقاء دهنده OpenSSL یک حفره امنیتی را در این محصول اعلام کردند و هم چنین یک راهنمایی امنیتی را منتشر کرده و از کاربران خواسته اند تا برای اصلاح این مشکل نرم افزار خود را ارتقاء دهند.

Adam Langley، مهندس نرم افزار گوگل اظهار داشت: خبر خوب آن است که در این حملات به یک موقعیت MitM نیاز است. به تمامی کاربران OpenSSL توصیه می شود تا به آخرین نسخه به روز رسانی نمایند.