A comunidade que administra o projeto OpenSSL anunciou hoje o lançamento de um patch no dia 1º de novembro, para corrigir uma vulnerabilidade crítica. Por causa do risco associado à vulnerabilidade, nenhum detalhe foi divulgado pela organização.
Veja isso
Certificado SSL já está em 80% dos sites de phishing
Firewall e VPN da Palo Alto vulneráveis ao bug OpenSSL
OpenSSL é uma das bibliotecas de criptografia de código aberto mais utilizadas, tornando essa vulnerabilidade crítica muito perigosa. É até comum que uma vulnerabilidade seja encontrada no OpenSSL, mas não é frequente que seja do nível de risco mais alto. O OpenSSL avisa que a atualização estará disponível na terça-feira à tarde.
A vulnerabilidade está na versão 3.0 do OpenSSL e deve ser corrigida com o lançamento da versão 3.0.7. Em sua política de segurança, o OpenSSL diz que informações sobre vulnerabilidades críticas não são compartilhadas. Vulnerabilidades como essa possibilitam, por exemplo, invadir e assumir servidores ou descriptografar comunicações interceptadas.
Vulnerabilidades no OpenSSL podem ter sérias consequências para a internet, como o Heartbleed Bug de 2014 mostrou anteriormente. Esse vazamento roubou informações da memória dos servidores da Web, incluindo chaves privadas usadas para certificados TLS. A vulnerabilidade também foi usada em ataques contra servidores VPN.