Bug OpenSSL maakt onderscheppen privacygevoelige gegevens mogelijk

Gepost op 08 april 2014 door Webmaster. Bron: Tweakers.net.

Hackers hebben mogelijk betalingsgegevens en andere vertrouwelijke info van veel internetters kunnen onderscheppen door een kritieke bug in OpenSSL. De bug zit in software die naar schatting een meerderheid van de websites op internet gebruiken.

De bug, die bekendstaat onder de namen Heartbleed en CVE-2014-0160 en die al twee jaar in OpenSSL zit, maakt het mogelijk om van buitenaf het interne geheugen van een webserver uit te lezen en daardoor private keys en ontsleutelde data te zien zonder enig spoor achter te laten. OpenSSL heeft de bug bevestigd.

Omdat de bug het mogelijk maakt om ontsleutelde data uit te lezen en gegevens te onderscheppen, is het mogelijk dat kwaadwillenden sessies op sites met privacygevoelige gegevens hebben onderschept. Onder meer iDeal gebruikt OpenSSL voor het genereren van private keys, net als naar schatting meer dan de helft van de webservers die online zijn, waaronder veel diensten die een login vereisen.

De bug zit in de 'heartbeat'-extensie van TLS, waar de software een 'bounds check' zou moeten doen om te kijken of een actie mag worden uitgevoerd. Een aanval met deze bug laat geen enkel spoor achter volgens de onderzoekers, waardoor niemand kan achterhalen of kwaadwillenden deze kwetsbaarheid de afgelopen twee jaar actief hebben misbruikt.

De getroffen versies zijn OpenSSL 1.0.1 en 1.0.2; gebruikers zouden moeten upgraden naar 1.0.1g of 1.0.2beta2, waarin een fix zit voor deze bug. Mensen achter het Tor-project, die een sterke focus hebben op anonimiteit en beveiliging, waarschuwen dat 'als je sterke anonimiteit of privacy nodig hebt op internet, dat je misschien een paar dagen van het internet wil wegblijven'.