Uma equipe do projeto OpenSSL descobriu uma nova vulnerabilidade misteriosa e rotulada como uma ameaça de “alta gravidade”. O erro, aparentemente, afeta as versões 1.0.2d e 1.0.1p. do software, e as versões inferiores – 1.0.0 e 0.9.8 – aparentemente não foram afetadas.

Atualmente, o OpenSSL é um dos métodos de criptografia mais usados do mundo, presente em boa parte dos serviços online e seu projeto é administrado por uma comunidade mundial de voluntários que usam a internet para se comunicar, planejar e desenvolver o kit de ferramentas OpenSSL e sua documentação.

Membros do projeto já anunciaram que vão lançar atualizações de segurança para a biblioteca de criptografia nesta quinta-feira (09). De acordo com Mark J. Cox, membro da equipe do OpenSSL, “as atualizações vão corrigir uma única falha de segurança de alta gravidade”. A natureza exata dessa vulnerabilidade de segurança está sendo mantida em segredo, presumivelmente para minimizar o risco de hackers maliciosos aproveitarem o problema para lançar ataques de dia zero.

Em 2014, o OpenSSL ganhou as manchetes de todo o mundo devido a descoberta de uma enorme falha de segurança chamada Heartbleed. Na ocasião, centenas de milhares de sistemas foram afetados pelo problema que modificava um importante conjunto de informações enviados pelo OpenSSL e causava comportamentos inadequados nos servidores, fazendo com que eles enviassem de volta uma série de informações confidenciais para os hackers. Pior do que isso, o Heartbleed permitia que as próprias chaves de encriptação fossem roubadas do servidor.

Com esse histórico nada agradável, é compreensível que a comunidade de TI esteja apreensiva em relação à nova descoberta. De acordo com a classificação do projeto OpenSSL, a nova falha pode ser usada por hackers para uma variedade de propósitos, desde ataques básicos que derrubam sites que utilizam a tecnologia de segurança, ou até mesmo instalar malwares nos sistemas das vítimas.

“Cruzando os dedos para que essa nova vulnerabilidade no OpenSSL não seja usada para nada tão grave quanto o Heartbleed, mas a mesma classificação de ‘alta gravidade’ poderia abrir a porta para várias ameaças, variando desde ataques de negação de serviço até a execução remota de códigos bastante desagradáveis”, explica Graham Cluley, especialista em segurança de TI.