Vooruitlopend op een artikel dat de redactie ongetwijfgeld gaat publiceren: in [url]https://isc.sans.edu/diary/OpenSSL+Security+Advisory+including+Lucky+Thirteen+Breaking+the+TLS+and+DTLS+Record+Protocols/15085[/url] staat als belangrijkste (mijn huidige inschatting):

[b]SSL, TLS and DTLS Plaintext Recovery Attack (CVE-2013-0169)[/b]
Probleem: Bij gebuik van CBC-mode kan een MITM onbedoeld decrypten.
Waar: Het gaat om een fout/gebrek in de SSL/TLS specificatie.
Welke implementaties: potentieel alle (dit lijkt echter mee te vallen).

Auteurs van de publicatie zijn Nadhem J. AlFardan and Kenneth G. Paterson, zie [url]http://www.isg.rhul.ac.uk/tls/TLStiming.pdf[/url]. In die publicatie is een lijst van van softwarebouwers en hun reactie op deze kwetsbaarheid opgenomen (bijv. Microsoft heeft gesteld niet kwetsbaar te zijn voor deze specifieke kwetsbaarheid door andere maatregelen, maar bedrijven zeggen dit wel vaker als ze wel kwetsbaar zijn terwijl de patch nog niet klaar is).

OpenSSL heeft updates gepubliceerd ([url]http://www.openssl.org/news/secadv_20130205.txt[/url]). Helaas zit OpenSSL in veel producten verweven (niet altijd zichtbaar) of is niet te updaten omdat het op een CD gebrand is ([url]https://www.security.nl/artikel/45019/1/Security_Tip_van_de_Week%3A_internetbankieren_via_boot_cd.html[/url]).

M'n gevoel zegt dat het waarschijnlijk om een lastig te exploiten kwetsbaarheid gaat, maar de ervaring leert dat zodra meer onderzoekers zich erop storten (wat nu gaat gebeuren) er vaak meer onwelriekends naar boven komt zodra je in de beerput roert.

Naast genoemde kwetsbaarheid is er in OpenSSL ook sprake van bugs die tot een crash kunnen leiden of die een DoS mogelijk maken, maar daar maak ik me wat minder zorgen over.