این آسیبپذیری میتواند یکسوم سرورهای HTTPS را غیرفعال کند. البته برای استفاده از این آسیبپذیری هکر باید به شبکه داخلی دسترسی داشته باشد تا بتواند حمله مردمیانی (man in the middle) را پیادهسازی کند.
نسخه OpenSSL به شماره 1.0.2 بهمنظور مقابله با حمله هکرها باید به 1.0.2g ارتقاء یابد. اشکالی که هماکنون در سرورهای فعال دنیا وجود دارد، امکان برقراری ارتباط SSLv2 است. هکر میتواند ارتباط امن TLS را با کلید خصوصی مشترک با SSLv2، رمزگشایی کند. این آسیبپذیری با کد CVE-2016-0800 شناخته میشود.
بهمنظور پیادهسازی حمله هکر به 1000 ارتباط TLS دارد. با داشتن یک سرور قدرتمند مانند Amazon EC2 که حدود 450 دلار قیمت دارد، کلید 2048 بیتی RSA در 8 ساعت شکسته میشود. هماکنون 33 درصد ارتباطهای HTTPS و 22 درصد اعتبارنامههای موردقبول مرورگرها آسیبپذیر هستند.
همچنین اگر ارتباط SSLv2 هر یک از آسیبپذیریهای مطرح از 1998 تا 2015 را داشته باشد، با یک پردازنده مرکزی (CPU) در یک دقیقه میتوان TLS را رمزگشایی کرد.
منبع: سایبربان
انتهای پیام/
