Symantec
10/04/2015

Una nuova vulnerabilità SSL/TLS, denominata Freak, è stata identificata da alcuni ricercatori

Si noti tuttavia che questa vulnerabilità non è assolutamente legata ai certificati SSL. I certificati SSL esistenti continueranno a funzionare come previsto: non è necessaria la loro sostituzione.

Freak è una vera e propria una minaccia, in quanto consente a un attaccante di visualizzare il contenuto di quella che dovrebbe essere una comunicazione privata e sicura tra un client e un server.

La vulnerabilità è dovuta principalmente a un bug nel software client OpenSSL, ma è sfruttabile esclusivamente su web server mal configurati. Client e server sono entrambi a rischio.

I proprietari possono proteggere i propri siti Web configurando opportunamente i loro Web server.

Gli utenti dovranno attendere che i produttori di browser di rilascino nuove versioni che includano il fix per tale bug OpenSSL.