Foto: 123RF
Dat laat de organisatie achter OpenSSL donderdag weten.
Het lek is al gedicht, maar daarvoor moeten websites hun servers wel updaten. OpenSSL zorgt voor een beveiligde internetverbinding te herkennen aan het groene slotje in de browser. Ongeveer de helft van de servers wereldwijd maakt gebruik van OpenSSL.
Wanneer zowel de client (bijvoorbeeld een browser, e-mailprogramma of andere software die verbinding maakt) als de server gebruikmaken van OpenSSL kan het verkeer tussen de twee worden onderschept en vervolgens worden ontsleuteld.
Dat is mogelijk met een zogeheten man-in-the-middle-aanval waarbij informatie tussen twee communicerende partijen wordt onderschept. De versleuteling van OpenSSL blijkt in dat geval niet sterk genoeg. Bijvoorbeeld Chrome en Firefox gebruiken geen OpenSSL en dus kunnen gebruikers van die browsers niet geraakt worden door het lek.
De nieuwe kwetsbaarheid volgt slechts twee maanden na een ander groot lek in OpenSSL,dat omschreven werd als het grootste internetlek ooit. Daardoor konden kwaadwillenden ook versleuteld verkeer afluisteren. Dat lek was ernstiger omdat de client niet van OpenSSL gebruik hoefde te maken om kwetsbaar te zijn.
Heartbleed: Wat je moet weten over het ‘grootste internetlek ooit’