Специалисты нашли в криптографическом пакете OpenSSL, который используется для шифрования данных при передаче информации от компьютера к серверу, очередную критическую " дыру". Она дает возможность злоумышленникам расшифровать и модифицировать VPN-трафик, электронные письма и другую данные, защищенную протоколом TLS.

Хакеры имеют возможность обойти TLS-защиту только в том случае, если трафик передается или принимается сервером под управлением Open SSL версий 1. 0. 1 и 1. 0. 2-beta1. При этом неважно, OpenSSL какой версии установлен на стороне клиента.

Уязвимость получила название CVE-2014-0224. К счастью, " заплатка" К ней уже выпущена: ее можно загрузить с интернет представительства OpenSSL. Администраторам, которые наблюдают за работой OpenSSL-серверов, рекомендуется немедленно обновить библиотеки.

Новая " дыра", выявленная в OpenSSL, весьма серьезна, но не настолько опасна, как Heartbleed, которая была обнаружена восемь недель назад. Дело в том, что Heartbleed позволяла любому " выудить" из оперативной памяти веб-сервера ценные данные (логины, пароли, cookie-файлы и Т. П.) в незашифрованном виде, тогда как связанная с TLS-протоколом уязвимость предполагает нацеленную нападение на одно соединение. Помимо этого, Heartbleed затронула оборудование, которым пользуются в домашних сетях и на предприятиях: маршрутизаторы, коммутаторы и файерволлы.

" Хорошие новости в том, что для предоставления возможности этих атак, во-первых, необходима позиция вида ' человек посередине' относительно жертвы, а во-вторых, они не затрагивают клиенты, не применяющие OpenSSL (IE, Firefox, Chrome на компьютере и iOS, Safari и Т. Д.)", — пояснил работник Google Адам Лэнгли, знаменитый инженер-программист и специалист в области шифрования.