Fałszywy certyfikat SSL w 10 minut
Naukowcy z Technische Universitat Darmstadt zaprezentowali sposób na wykorzystanie luki w OpenSSL.
Niecałe 10 minut wystarcza do wygenerowania fałszywego certyfikatu SSL akceptowanego przez wiele przeglądarek internetowych. Oznacza to otwarcie nowych możliwości dla przestępców zajmujących się phishingiem. Twórcy OpenSSL przygotowali i opublikowali zestaw odpowiednich poprawek.
Oszukać nie da się tą metodą Internet Explorera 6 oraz Safari. Bezpiecznie mogą się też czuć użytkownicy Firefoksa 1.5.0.7 – wcześniejsze wersje są niestety wrażliwe na opracowaną przez naukowców metodę. Przeglądarka Konqueror korzysta z systemowych bibliotek OpenSSL; jeśli są one zaktualizowane, użytkownikowi nic nie grozi.
Problem pojawia się w wypadku użytkowników Opery: wszystkie dostępne finalne wersje „nabierają” się na sfałszowany certyfikat. Luka zostanie załatana w nadchodzącej edycji 9.02. Technika opracowana przez niemieckich naukowców umożlwia też oszukanie programów pocztowych, na przykład Thunderbirda w wersjach wcześniejszych niż 1.5.0.7.