OpenSSL is weer kwetsbaar

De organisatie achter OpenSSL waarschuwt wederom voor een lek in het protocol om internetverbindingen te beveiligen. De nieuwe kwetsbaarheid komt twee maanden na het zogenoemde Heartbleed-lek, het grootste ooit.

Ook nu weer kan het verkeer tussen een applicatie (browser of e-mailprogramma) worden onderschept en ontsleuteld. De versleuteling blijkt niet sterk genoeg voor een man-in-the-middle-aanval. Daarbij wordt een zwakke versleuteling in een OpenSSL-verbinding afgedwongen, waarmee de inhoud van de communicatie tussen de applicatie en de server uitgelezen kan worden. Daartoe moet OpenSSL wel aan beide kanten worden gebruikt.

Browserverkeer is grotendeels veilig, maar Android gebruikers die surfen via Chrome lopen wel risico.

Inmiddels is er een nieuwe patch voor de kwetsbaarheid die al op 1 maart werd ontdekt.