Vulnerabilidade do OpenSSL permite decodificar tráfego criptografado (CVE-2014-0160)

heartbleedFoi descoberta uma vulnerabilidade em algumas versões do OpenSSL (1.0.1 até a  1.0.1f) que possibilita a obtenção das chaves criptográficas. Com estas chaves é  possível decodificar todo o tráfego criptografado, fazendo com que usuários,  senhas, informações enviadas em VPN, dentre outras informações sensíveis,  sejam transmitidas em texto puro.

A falha, batizada como Heartbleed e identificada pelo CVE-2014-0160, afeta a  extensão “Heartbeat” (RFC6520) adicionada à biblioteca do OpenSSL.

Segundo estimativa da Lastpass, o OpenSSL é utilizado aproximadamente por 2/3  de servidores de empresas. Sites como Yahoo!, Flickr, StackOverflow,  XDA-Developers, Imgur, WeTransfer e Steam Community, inclusive a Lastpass, dentre diversos outros foram afetados pela vulnerabilidade.

Foi lançada a versão 1.0.1g no dia 07 de abril de 2014, corrigindo a falha. Caso não seja possível efetuar a atualização para esta versão, é necessário recompilar o OpenSSL utilizando a opção -DOPENSSL_NO_HEARTBEATS.

Com a descoberta desta vulnerabilidade veio a preocupação em como as empresas afetadas lidarão com o caso. Afinal, mesmo após corrigida a falha existe a possibilidade de algumas chaves terem sido capturadas.

Mais informações em: heartbleed.com

Fonte: info.abril.com.br