OpenSSL bevat opnieuw beveiligingsgat

  1. 10 jul 2015
  2. 0 reacties

encryptie

Opnieuw is een kwetsbaarheid aangetroffen in OpenSSL. Aanvallers kunnen met behulp van het lek kwetsbare applicaties dwingen een ongeldig certificaat als een legitiem transport layer security (TLS) of secure sockets layer (SSL) certificaat te behandelen.

Het lek is aangetroffen door Adam Langley, cryptografisch engineer bij Google, en David Benjamin, een ontwikkelaar van het BoringSSL project. Zodra door een applicatie een versleutelde verbinding wordt opgezet met een server worden controles uitgevoerd om het gebruikte certificaat te authentificeren. De kwetsbaarheid stelt aanvallers in staat dit mechanisme te omzeilen, waardoor een ongeldig certificaat afkomstig lijkt van een legitieme Certificate Authority (CA). Aanvallers kunnen hierdoor voor iedere website valse certificaten afgeven.

De kwetsbaarheid (CVE-2015-1793) is overigens alleen aanwezig in OpenSSL 1.0.2c, 1.0.2b, 1.0.1n en 1.0.1o, die allen verouderd zijn. Gebruikers wordt geadviseerd te upgraden naar 1.0.2d of 1.0.1p.

Meer over
Lees ook
Interesse van cybercriminelen in SSL-certificaten neemt toe

Interesse van cybercriminelen in SSL-certificaten neemt toe

“Knap dat Let's Encrypt binnen enkele maanden al een miljoen gratis certificaten heeft uitgegeven. Daardoor wordt er steeds meer data en privacy beschermd via SSL/TLS. Echter naarmate er meer certificaten worden uitgegeven en zeker als die niet continu worden beschermd tegen misbruik, neemt ook de interesse van cybercriminelen daarin toe”, dit zeg1

Onderzoekers ontwikkelen betrouwbare exploit voor Stagefright bug

Onderzoekers ontwikkelen betrouwbare exploit voor Stagefright bug

Een groep Israëlische onderzoekers is erin geslaagd een betrouwbare exploit te ontwikkelen voor de Stagefright bug die vorig jaar in Android opdook. De implementatie van Stagefright wordt door de onderzoekers ‘Metaphor’ genoemd. Stagefright is een software library die in Android wordt gebruikt om video’s en andere media te verwerken. Deze library1

Symantec gaat gratis SSL-certificaten verstrekken

Symantec gaat gratis SSL-certificaten verstrekken

Symantec maakt bekend gratis SSL-certificaten te gaan verstrekken aan websites. Het bedrijf richt zich met het programma ‘Encryption Everywhere’ op hostingproviders, die het programma in hun platformen en beheerpanelen kunnen integreren. Klanten kunnen hierdoor eenvoudig een SSL-certificaat aanvragen bij Symantec en dit certificaat installeren. He1