عدم به روز رسانی OpenSSL در سایت های HTTPS معروف
تعدادی از وب سایت های معروف كه داده ها را با پروتكل SSL رمزگذاری می كنند هم چنان نسبت به حفره اخیر OpenSSL آسیب پذیری می باشند. این حفره به مهاجمان اجازه می دهد تا ارتباطات را پیگیری و رمزگشایی نمایند.
به گزارش ایتنا از مرکز ماهر، روز پنجم ژوئیه، توسعه دهندگان كتابخانه رمزگذاری OpenSSL به منظور برطرف كردن چندین آسیب پذیری، به روز رسانی های امنیتی فوری را منتشر كردند كه از جمله این آسیب پذیری ها، آسیب پذیری CVE-2014-0224 است كه به مهاجمان اجازه می دهد تا ارتباطات رمزگذاری شده را در موقعیتی خاص شنود نمایند.
پروتكل OpenSSL یكی از محبوب ترین كتابخانه های رمزگذاری برای پیاده سازی SSL/TLS بر روی سرورهای وب می باشد.
به منظور سوء استفاده از آسیب پذیری CVE-2014-0224 برای رمزگشایی و تغییر ترافیك SSL، مهاجم باید موقعیتی برای حمله”man-in-the-middle” بین كلاینت و سروری كه هر دو از OpenSSL استفاده می كنند، داشته باشد. از آن گذشته سرور باید در حال اجرای نسخه ۱.۰.۱ از OpenSSLباشد.
با توجه به یافته های محققان حدود ۱۴ درصد از سایت هایی كه توسط پروژه SSL Pulse مانتیور شده اند در حال اجرای نسخه های از OpenSSL می باشند كه به حفره CVE-2014-0224 آسیب پذیر هستند.
پروژه SSL Pulse پیاده سازی SSL را بر روی سایت های HTTPS مانیتور می كند. این سایت ها از بین فهرست ۱ میلیون وب سایت پر بیننده كه توسط شركت Alexa تهیه شده، انتخاب شده است.
در این میان ۳۶ درصد از وب سایت ها در حال اجرای نسخه ۰.۹.x و ۱.۰.۰ بودند كه نسبت به این حفره آسیب پذیر می باشند. این سرورها باید به نسخه های اصلاح شده به روز رسانی شوند زیرا ممكن است هدف حملات مهاجمان قرار بگیرند.
خبر خوب آن است كه بیشتر مرورگر ها از OpenSSL استفاده نمی كنند و این بدان معناست كه بیشتر كاربران مرورگر تحت تاثیر این آسیب پذیری قرار ندارند. با این وجود، مرورگرهای اندورید از OpenSSL استفاده می كنند و نسبت به این حملات آسیب پذیری هستند.
علاوه بر این، بسیاری از ابزارهای خط فرمان و برنامه های شبیه سازی از OpenSSL استفاده می كنند.