[…] Alors que le bug Heartbleed n’est toujours pas corrigé partout, un chercheur japonais vient de trouver une nouvelle alerte sécurité pour le protocole OpenSSL.La faille Heartbleed à peine corrigée (il resterait plus de 12 000 sites parmi les plus populaires qui seraient encore affectés selon AVG Virus Labs), voici qu’un nouveau bug se pointe à l’horizon. La fondation OpenSSL a en effet publié un avertissement accessible à cette adresse relatif à un bug vieux de plus de 10 ans (!) et permettant de mener une attaque de type « man-in-the-middle » sur le trafic chiffré avec OpenSSL. Le bulletin publié par la fondation indique que le bug permet à un attaquant d’intercepter une connexion chiffrée, de la décrypter et de la lire. Cette faille a été découverte initialement par Masashi Kikushi, chercheur au sein de la société de logiciels Lepidum. Alors que Heartbleed avait été introduit par erreur lors d’une mise à jour du protocole en 2011, la faille découverte par le chercheur nippon est présente depuis l’origine, c’est-à-dire 1998. […]
↧
