Há alguns meses ficamos sabendo do Heartbleed, uma falha de segurança no OpenSSL que afetava a internet quase inteira. E agora descobrimos outra vulnerabilidade neste protocolo de segurança amplamente usado. A boa notícia é que já há uma correção. A má notícia é que a vulnerabilidade existe há uma década, e não temos ideia de como ela foi explorada nesse tempo.

A Wired diz que a OpenSSL Foundation, a organização sem fins lucrativos que mantém o protocolo de segurança, publicou um alerta sobre um bug de uma década de vida descoberto pelo pesquisador de segurança japonês Masashi Kikuchi. Apelidada de vulnerabilidade de injeção CCS, o bug permite que hackers que estão bisbilhotando uma rede capturem dados criptografados durante o “aperto de mãos” que estabelece conexões seguras. Durante o aperto de mão, o hacker pode descriptografar os dados ao forçar servidores a usarem chaves de criptografia fracas.

Felizmente, já há uma correção para o bug, que foi publicada pela Lepidum, firma para qual Kikuchi trabalha. Mas como o ataque não deixa rastros, nunca saberemos quantas vezes ele foi usado, se é que alguma vez foi. [Lepidum via Wired]