abonneren

Opnieuw groot lek ontdekt in OpenSSL

Slechts een paar weken na het desastreuze Heartbleed-lek, kampt OpenSSL wéér met ernstige veiligheidsproblemen. Het blijkt onder andere mogelijk een man-in-the-middle-aanval uit te voeren op slachtoffers of servers die ook OpenSSL draaien.

Dat wordt gemeld door OpenSSL zelf.

Communicatie afluisteren

Kwaadwillenden kunnen het beveiligingsprobleem misbruiken om een zwakke versleuteling in een OpenSSL-verbinding af te dwingen. Daarmee kan de inhoud van communicatie tussen het apparaat van het slachtoffer en de server uitgelezen worden.

Browsers

Het lek kan alleen worden misbruikt als beide apparaten gebruik maken van OpenSSL. Geen van de grote browsers (Chrome, Firefox, IE) maken daarvan gebruik, dus browserverkeer is voor het grootste deel veilig.

Android-gebruikers die surfen via Chrome zijn echter wel kwetsbaar, dus pas op als je via die browser surft.

Patch

Er is inmiddels een patch vrijgegeven voor de bug, die al op 1 maart werd ontdekt. Het zal nog even duren voor iedere servereigenaar het probleem heeft gepatcht, dus pas tot die tijd goed op met wat je op internet doet. Gebruik waar mogelijk een VPNen verstuur zo min mogelijk gevoelige informatie over het internet.

Heartbleed

Het lek komt slechts een paar weken na het lek Heartbleed. Daardoor waren een haast onvoorstelbaar aantal websites kwetsbaar voor aanvallen waarmee internetverkeer kon worden afgeluisterd. Dit nieuwe lek lijkt een stuk minder ernstig te zijn, maar pas desondanks goed op als je je op internet begeeft.

Lees ook:

> Ernstig lek in OpenSSL ontdekt

Geschreven door: Tijs Hofmans op

Category: Nieuws, Security

Tags: lek, bug, beveiliging, Heartbleed, Openssl