Поделиться
Эксперты в области информационной безопасности обнаружили новую критическую уязвимость в популярном криптографическом пакете OpenSSL, использующемся для шифрования информации, которая передается от пользовательского компьютера к серверу. Об этом пишет Ars Technica.
По данным издания, ошибка в программном обеспечении позволяет злоумышленникам перехватывать информацию, зашифрованную протоколом TLS, расшифровывать ее и модифицировать. К категории уязвимых относятся данные, которые передаются через туннельное соединение VPN, электронная почта и другая информация.
Обнаружившие ошибку эксперты утверждают, что ее "возраст" составляет около 16 лет, а незамеченной ей удавалось оставаться по той причине, что исходный код OpenSSL не проверяется перед выпуском.
Специалисты уточняют, что опасности перехвата и раскодирования информация подвергается в том случае, если на стороне сервера установлена версия OpenSSL 1.0.1 или 1.0.2 Beta 1. На стороне клиента может работать любая версия OpenSSL. Разработчики пакета шифрования уже признали наличие ошибки и сообщили об этом на своем официальном сайте.
Напомним, что это уже вторая критическая ошибка, обнаруженная в популярном криптографическом пакете за последнее время. О первой стало известно в начале апреля - тогда специалисты выяснили, что уязвимость в OpenSSL, получившая название Heartbleed, позволяет злоумышленникам похищать информацию из памяти серверов, компьютеров и мобильных устройств, оставаясь при этом незаметными.
В настоящее время администраторы серверов, использующих OpenSSL, уже могут загрузить и установить "заплатку", устраняющую уязвимость. В отличие от Heartbleed, новая ошибка не является столь опасной, утверждают эксперты.