Het gisteren onthulde SSL-lek zorgt ervoor dat alle software die het protocol gebruikt, gepatcht zal moeten worden. Dat zegt het bedrijf dat het probleem in augustus ontdekte. "Omdat dit een protocol-lek is, en niet een implementatie-fout is, zijn de gevolgen verstrekkend", aldus Steve Dispensa, CTO van PhoneFactor. "Alle SSL libraries hebben een patch nodig, en meeste client en server applicaties moeten tenminste een nieuw exemplaar van de SSL libraries aan hun producten toevoegen. De meeste gebruikers zullen uiteindelijk alle software die SSL gebruikt moeten updaten." Het gaat dan om browsers, servers, smartcards, VPN producten en tal van andere apparaten die het protocol in hun firmware embed hebben.

Marsh Ray, de ontdekker van het lek, werkt sinds augustus al aan een oplossing, samen met de Internet Engineering Task Force (IETF) en leveranciers zoals Google en Microsoft. "De bug resulteert in een serie gerelateerde aanvallen die een man-in-the-middle slechte dingen met je SSL/TLS verbinding laat doen. Een aanvaller kan zijn eigen tekst injecteren in elke applicatie waarvan jouw applicatie denkt dat het een versleutelde en veilige verbinding is", zegt Ray. "Dit heeft gevolgen voor alle protocollen die bovenop SSL en TLS draaien, zoals HTTPS."

Patch
Volgens Dan Kaminsky is de kwetsbaarheid niet alleen beperkt tot het injecteren van verkeer. "HTTPS content zal vanwege deze bug lekken. Onderschat nooit het nut van een subtiel cryptografisch lek." Marsh merkt op dat alle SSL-aanvallen die hij recentelijk heeft gezien, zich rond de client of server software bevonden, of de manier waarop die certificaten verwerkten. "Wat met deze bug anders is, is dat zowel de client als server gepatcht moeten worden om de volledige security garanties te herstellen die van TLS verwacht worden." De onderzoeker zegt dat eindgebruikers zich niet al teveel zorgen moeten maken, maar dat ze de patch zo snel als mogelijk zodra die beschikbaar is dienen te installeren.