Twee maanden nadat een kritiek beveiligingsprobleem in OpenSSL werd ontdekt, is opnieuw een gevaarlijke bug in de code aan het licht gekomen. Aanvallers kunnen een man-in-the-middle-aanval uitvoeren, maar alleen als het slachtoffer ook OpenSSL gebruikt.

Een aanvaller kan met behulp van het beveiligingsprobleem zwakke versleuteling in een OpenSSL-verbinding afdwingen als hij in staat is om het netwerkverkeer te onderscheppen. Vervolgens kan de inhoud van de communicatie dankzij de zwakke versleuteling worden gekraakt, blijkt uit een securitybulletin van OpenSSL.

De kwetsbaarheid kan alleen worden gebruikt als zowel de server als de client kwetsbaar zijn voor de bug. Daardoor zijn gebruikers die andere ssl/tls-software gebruiken niet kwetsbaar. Onder meer Firefox, Safari en de desktopversie Chrome gebruiken een andere ssl/tls-library dan OpenSSL, waarmee gebruikers van die browsers niets te vrezen hebben. De Android-versie van Chrome gebruikt weer wel OpenSSL.

Het OpenSSL-team heeft een update vrijgegeven voor de software.

Alles bij de bron; Tweakers