Vulnerabilidade crítica em OpenSSL coloca comunicações ditas seguras em risco

A Symantec está recomendando a utilização da versão mais recente da popular implementação de código aberto dos protocolos SSL/TLS em função de uma nova vulnerabilidade crítica em OpenSSL, que poderia permitir a interceptação de comunicações seguras por invasores capazes de “enganar” um computador-alvo, para que ele aceitasse um certificado digital bogus como válido. Isto facilitaria ataques do tipo man-in-the-middle (MITM, do português “Homem no Meio”), nos quais invasores poderiam “escutar” conexões com serviços seguros, como bancos ou e-mails.

A grande proporção desse risco se deve ao fato de o OpenSSL ser uma das implementações mais amplamente usadas dos protocolos de criptografia SSL e TLS. O Software Open-source (Código Aberto) é facilmente encontrado em dispositivos conectados à Internet, o que abrange dois terços de todos os servidores web.

A nova Vulnerabilidade de Falsificação de Certificado de Cadeias Alternativas (Alternative Chains Certificate Forgety Vulnerability) já tem uma atualização de segurança emitida pelo projeto OpenSSL. A vulnerabilidade se refere ao processo de verificação do certificado de OpenSSL, cujos certificados são emitidos em cadeias, os quais se deslocam a partir da autoridade de certificado raiz (CA) através de uma série de CAs intermediárias até a certificação de usuário final, conhecido como certificado leaf (secundário).

Esta vulnerabilidade afeta as versões OpenSSL 1.0.2c, 1.0.2b, 1.0.1n, e 1.0.1o. Usuários de versões 1.0.2b e 1.0.2c são aconselhados a fazer o upgrade imediato para 1.0.2d. Usuários das versões 1.0.1n e 1.0.1o são aconselhados a fazer o upgrade imediato para 1.0.1p.

Importante Esta é uma vulnerabilidade em OpenSSL e não uma falha com SSL/TLS ou certificados emitidos

pela Symantec. Todo usuário de OpenSSL 1.0.1 a 1.0.2 deverá atualizar para a versão mais recente do software

o mais rápido possível. Usuários das versões 1.0.0 e 0.9.8 não são afetados por este problema. Atenção: muitos outros pacotes de software usam OpenSSL e aqueles que o fazem deverão ser

atualizados, já que o vendedor incorpora a versão atualizada do OpenSSL aos seus produtos.

As Ferramentas Verificadoras de Certificado SSL da Symantec (SSL Tools Certificate Checker) verificarão se um website está vulnerável a potencial exploração. É possível acessar o Verificador de Certificado no seguinte endereço: https://ssltools.websecurity.symantec.com/checker/

Leia mais detalhes sobre o tema no Blog Post da Symantec e, caso queira marcar um entrevista com um especialista da empresa, por favor, entre em contato.