Losanna (Svizzera) – Un gruppo di ricercatori svizzeri dell’Università di Losanna sostiene di aver trovato un metodo per decodificare un messaggio criptato utilizzando il Secure Socket Layer ( SSL ), un diffuso protocollo di sicurezza utilizzato per fornire una connessione sicura fra client e server.
La vulnerabilità interessa le versioni precedenti alla 0.9.6i e 0.9.7a di OpenSSL , la diffusissima implementazione open source del protocollo SSL.
Il professor Serge Vaudenay, a capo del team che ha scoperto la falla, ha descritto nei dettagli il proprio attacco in un documento nel quale dimostra come sia possibile, per un cracker che riesca a sniffare le comunicazioni che avvengono fra un client di posta elettronica e un server sicuro, decodificare porzioni del messaggio, come la password.
Vaudenay ha voluto evitare ogni allarmismo sottolineando come la debolezza appena scoperta in OpenSSL, benché non trascurabile, può essere sfruttata con una certa probabilità di successo solo con le e-mail: le transazioni sicure che avvengono via Web, come quelle di e-commerce, non sarebbero pertanto a rischio.
OpenSSL.org, che ha pubblicato un advisory qui , ha già rilasciato due nuove versioni del proprio software, la 0.9.7a e la 0.9.6i, che correggono il problema.
Ti potrebbe interessare
24 feb 2003