Heartbleed Bug – OpenSSL partiu nosso coração…

Os mantenedores da biblioteca OpenSSL liberaram hoje uma nova versão que corrige um sério bug neste software de criptografia. O OpenSSL implementa SSL/TLS, o protocolo padrão de proteção de tráfego na web, amplamente utilizado em sistemas operacionais abertos e em diversas aplicações. A vulnerabilidade explora um recurso de heartbeat para ler conteúdo da memória do cliente e do servidor, e foi batizada de “Heartbleed”.

O Heartbleed bug permite ler a memória dos hosts que estão se comunicando via TLS sem precisar estar no meio do caminho (como em ataques man-in-the-middle), e pode expor as chaves de criptografia utilizadas. A partir daí, todo o trafego se torna inseguro, podendo ser lido ou alterado pelo atacante. As versões vulneráveis são a OpenSSL 1.0.1 até 1.0.1f. A solução é a implementação da versão 1.0.1g.

Dada a ampla utilização deste software, é razoável supor que sistemas vulneráveis ainda serão encontrados por muito tempo. Sistemas como routers ou aplicações onde o uso de versões vulneráveis do OpenSSL não sejam tão evidentes podem ficar bastante expostos.

Para saber mais sobre a vulnerabilidade, acesse http://heartbleed.com.