Outro Heartbleed? Equipe do OpenSSL descobre nova falha de "alta gravidade"

Por Redação | 07 de Julho de 2015 às 11h45

Uma equipe do projeto OpenSSL descobriu uma nova vulnerabilidade misteriosa e rotulada como uma ameaça de "alta gravidade". O erro, aparentemente, afeta as versões 1.0.2d e 1.0.1p. do software, e as versões inferiores – 1.0.0 e 0.9.8 – aparentemente não foram afetadas.

Atualmente, o OpenSSL é um dos métodos de criptografia mais usados do mundo, presente em boa parte dos serviços online e seu projeto é administrado por uma comunidade mundial de voluntários que usam a internet para se comunicar, planejar e desenvolver o kit de ferramentas OpenSSL e sua documentação.

Membros do projeto já anunciaram que vão lançar atualizações de segurança para a biblioteca de criptografia nesta quinta-feira (09). De acordo com Mark J. Cox, membro da equipe do OpenSSL, "as atualizações vão corrigir uma única falha de segurança de alta gravidade". A natureza exata dessa vulnerabilidade de segurança está sendo mantida em segredo, presumivelmente para minimizar o risco de hackers maliciosos aproveitarem o problema para lançar ataques de dia zero.

Participe do nosso GRUPO CANALTECH DE DESCONTOS do Whatsapp e do Facebook e garanta sempre o menor preço em suas compras de produtos de tecnologia.

Em 2014, o OpenSSL ganhou as manchetes de todo o mundo devido a descoberta de uma enorme falha de segurança chamada Heartbleed. Na ocasião, centenas de milhares de sistemas foram afetados pelo problema que modificava um importante conjunto de informações enviados pelo OpenSSL e causava comportamentos inadequados nos servidores, fazendo com que eles enviassem de volta uma série de informações confidenciais para os hackers. Pior do que isso, o Heartbleed permitia que as próprias chaves de encriptação fossem roubadas do servidor.

Com esse histórico nada agradável, é compreensível que a comunidade de TI esteja apreensiva em relação à nova descoberta. De acordo com a classificação do projeto OpenSSL, a nova falha pode ser usada por hackers para uma variedade de propósitos, desde ataques básicos que derrubam sites que utilizam a tecnologia de segurança, ou até mesmo instalar malwares nos sistemas das vítimas.

"Cruzando os dedos para que essa nova vulnerabilidade no OpenSSL não seja usada para nada tão grave quanto o Heartbleed, mas a mesma classificação de 'alta gravidade' poderia abrir a porta para várias ameaças, variando desde ataques de negação de serviço até a execução remota de códigos bastante desagradáveis", explica Graham Cluley, especialista em segurança de TI.

Com informações do IT World
Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.