Heartbleed‘in internet dünyasını ayağa kaldırmasının sadece birkaç hafta sonrasında yeni bir OpenSSL tehdidi ortaya çıktı. OpenSSL grubu tarafından duyurulan açık bir “SSL/TLS MITM” zaafiyeti olarak tanımlandı. Bu bug nedeniyle saldırgranlar, bir istemci ile sunucu arasında şifreli bir bağlantı kurulduğunda dahi “el sıkışma” (handshake) işleminde araya girebiliyor.

Saldırganlar bu sızıntının ardından, istemciyi ve sunucuyu daha zayıf anahtarlar kullanmaya zorlayarak, “ortadaki adamın” şifreli trafiği çözümlemesini ve ardından değiştirmesini kolaylaştırıyor. Kısacası bu OpenSSL açığı, birilerinin şifreli bağlantınıza müdahale ederek savunmasız kalmanıza neden olabiliyor.

15 Yıldır Kapatılmadı

Google Yazılım Mühendisi Adam Langley‘e göre OpenSSL’in tüm sürümlerinde mevcut olan bu açık, 15 yılı aşkın süredir internette varlığını sürdürüyordu. Güncelleme yapması gereken OpenSSL kullanıcısı sunucuların yanı sıra, hatanın kullanıcı tarafında etkilediği kitle özellikle OpenSSL protokolünü kullanan istemcilerden oluşuyor.

Diğer bir deyişle, Chrome, Firefox, Safari ve Internet Explorer bu hata karşısında risk altında değil; ancak OpenSSL kullanan tarayıcılar (örneğin Android için Chrome), sıkıntı yaşayabilir. Hatayı keşfeden Masashi Kikuchi‘nin konuyla ilgili detaylı (ve teknik) anlatımını buraya tıklayarak okuyabilirsiniz.

:: Konuyla ilgili neler düşünüyorsunuz?