SSL/TLS zranitelnost

V SSL byla nalezena kritická zranitelnost, která utočníkům umožňuje vložit se do zabezpečené SSL komunikace standardním man-in-the-middle útokem. Webové stránky využívající SSL jsou zranitelné, např. internetové bankovnictví, back-office systémy, které využívají webové služby, dále aplikace jako mailové a databázové servery, ale i webové stránky, které využívají certifikáty klientů. Marsh Roy a Steve Dispenda, zaměstnanci společnosti PhoneFactor objevili bezpečnostní díru v SSL protokolu, a na konci října informovali společnosti, jejichž produktů se týká. Byla ustanovena pracovní skupina ze zástupců PhoneFactor, IETF (Internet Engineering Task Force) a organizace ICASI (Industry Consortium for the Advancement of Security on the Internet), která sdružuje společnosti Microsoft, Intel, Nokia, IBM, Cisco, Juniper, Open SSL, Apache, NSS, Red Hat a Leviathan Security Group. Zranitelnost neměla být zveřejněna do začátku roku 2010, aby výrobci sotftwaru měli dost času na opravu, ale 4. listopadu byla zranitelnost nezávisle objevena na diskuzi pracovní spiny IETF TLS a zprávy o zranitelnosti se začaly rychle šířit IT security komunitou. Původní oznámení naleznete zde.