OpenSSL bevat opnieuw beveiligingsgat

  1. 10 jul 2015
  2. 0 reacties

encryptie

Opnieuw is een kwetsbaarheid aangetroffen in OpenSSL. Aanvallers kunnen met behulp van het lek kwetsbare applicaties dwingen een ongeldig certificaat als een legitiem transport layer security (TLS) of secure sockets layer (SSL) certificaat te behandelen.

Het lek is aangetroffen door Adam Langley, cryptografisch engineer bij Google, en David Benjamin, een ontwikkelaar van het BoringSSL project. Zodra door een applicatie een versleutelde verbinding wordt opgezet met een server worden controles uitgevoerd om het gebruikte certificaat te authentificeren. De kwetsbaarheid stelt aanvallers in staat dit mechanisme te omzeilen, waardoor een ongeldig certificaat afkomstig lijkt van een legitieme Certificate Authority (CA). Aanvallers kunnen hierdoor voor iedere website valse certificaten afgeven.

De kwetsbaarheid (CVE-2015-1793) is overigens alleen aanwezig in OpenSSL 1.0.2c, 1.0.2b, 1.0.1n en 1.0.1o, die allen verouderd zijn. Gebruikers wordt geadviseerd te upgraden naar 1.0.2d of 1.0.1p.

Meer over
Lees ook
Microsoft brengt XP-update uit om ernstig lek in Internet Explorer te dichten

Microsoft brengt XP-update uit om ernstig lek in Internet Explorer te dichten

Microsoft heeft het ernstige beveiligingslek in Internet Explorer gedicht. Het Amerikaanse IT-bedrijf ook een update uit voor Windows XP, waarmee de kwetsbaarheid ook op dit verouderde besturingssysteem wordt gedicht. Het is opvallend dat Microsoft ook voor Windows XP een update heeft uitgebracht, aangezien het besturingssysteem sinds 8 april 20141

'39% van de gebruikers heeft maatregelen genomen tegen Heartbleed-bug'

'39% van de gebruikers heeft maatregelen genomen tegen Heartbleed-bug'

De Heartbleed-bug heeft tot veel ongerust geleid. Desondanks blijkt nog niet eens de helft van alle Amerikaanse internetgebruikers (39%) maatregelen te hebben genomen om zijn online accounts te beschermen. Dit blijkt uit onderzoek van Pew Research, dat 1.500 Amerikanen ondervroeg over hun reactie op het OpenSSL-lek. Heartbleed is een ernstige kwet1

Eerste ernstige XP-kwetsbaarheid die niet meer wordt gedicht is een feit

Eerste ernstige XP-kwetsbaarheid die niet meer wordt gedicht is een feit

De eerste ernstige kwetsbaarheid in Windows XP die niet meer door Microsoft zal worden gedicht is een feit. Microsoft meldt dat Internet Explorer (IE) 6 tot en met 11 een ernstige kwetsbaarheid bevat. IE 6 t/m 8 is echter ook beschikbaar voor Windows XP. Voor dit besturingssysteem gaat Microsoft geen updates meer beschikbaar stellen, wat betekent1