پس از اعلام آسیب پذیری فراگیر تاریخ اینترنت که در 20 فروردین ماه امسال اعلام جهانی شد که به "خونریزی قلبی" شهرت یافت و منجر به افشای اطلاعات مهمی از سایت های سرتاسر جهان شد این بار آسیب پذیری دیگری مربوط به OpenSSl کشف شده که به مهاجم اجازه می دهد ترافیک رمز شده SSl/TLS میان کلاینت و سرور را تغییر دهد و یا رمزگشایی کند.
مرکز ماهر اعلام کرد: در این رخنه اینترنتی، به منظور اجرای حمله موفق، در صورتیکه کلاینت و سرور آسیب پذیر به این نوع از نقطه ضعف باشند، مهاجم نیازمند شنود ارتباط میان کلاینت هدف و سرور (MITM) است. این آسیب پذیری با کد CVE-2014-0224 در نسخه های Openssl1.0.1 و جدیدتر و 1.0.2-beta1 شناخته شده است.
به دلیل ضعف در الگوریتم رمزنگاری Openssl و با سوء استفاده از آسیب پذیری شناسایی شده در ارتباط handshake میان کلاینت و سرور و الزام آنها به استفاده از کلید رمز قابل حدس (CWE-325)، می توان حمله توقف در سرویس دهی را به دلیل امکان ارسال متناوب پیام های CCS (ChangeCipherSpec) در ارتباط SSl/TLS اجرا کرد.
براین اساس نسخه های آسیب پذیر از سوی مرکز ماهر اعلام شده است که شامل تمامی کلاینت هایی که از تمامی نسخه های OpenSSl استفاده می کنند می شود. همچنین آسیب پذیری مذکور در نسخه های 1.0.1 و یا جدیدتر و 1.0.2-beta1 شناسایی شده است؛ در همین حال مرورگرهای مطرح همچون Chrome، Firefox، IE و Safari در خطر نبوده ولی نسخه ای از مرورگرها مانند Chrome بر روی Android که از OpenSSL استفاده می کنند آسیب پذیر هستند.
به کاربران اینترنت توصیه شده است که برای رفع آسیب پذیری، باید از به روز رسانی های ارائه شده بر روی وب سایت Openssl و ارتقا به نسخه های 0.9.8za ، 1.0.0m و 1.0.1h استفاده کنند.