Hackers iranianos alegam ter derrubado energia em Israel
Ransomware atinge empresa de logística no Brasil
USP, UFRJ e UFMG sob ataque de negação de serviço
Pane de rede retardou produção na Volkswagen
Site da Prefeitura de Suzano (SP) está fora do ar
DDoS atinge subdomínio da NASA

Assine nossa newsletter Premium e ganhe acesso ao grupo de WhatsApp In_Cyber.
Conheça também a versão Básica

Outro furo no OpenSSL ? ? ? ? ?

Share on linkedin
Share on twitter
Share on facebook

Outro furo no OpenSSLUm grupo do Anonymous garante que a última versão do OpenSSL – justamente aquela que veio para consertar o Heartbleed – tem um furo igual ou pior. Eles descobriram o problema e comprovaram a falha, embora especialistas no assunto ainda contestem a descoberta.

O que o pessoal do Anonymous diz no Pastebin é o seguinte:

“Descobrimos uma vulnerabilidade na versão patch do OpenSSL. Uma checagem com ausência de limites na manipulação da variável DOPENSSL_NO_HEARTBEATS. Nós conseguimos dar overflow em DOPENSSL_NO_HEARTBEATS e pegar trechos de 64kb de dados novamente, na nova versão”.

Os hackers dizem também que podem utilizar essa vulnerabilidade por bastante tempo até que ela seja consertada, e exstão vendendo o script do exploit por 2.5 Bitcoins (US$1.069 ou €780). O email dos caras é BitWasp@safemail.net.

Eles dizem ainda: “Somos uma equipe de cinco pessoas e trabalhamos direto durante 14 dias para descobrir uma solução e nós descobrimos! Não temos nenhuma razão para torná-la pública, já que as empresas farão nova atualização”.

Pode não ser verdade. O especialista em linguagem C Jann Horn diz que essa vari[avel não começa com a letra D e é utilizada para definir se o heartbeats será compilado ou não. Além disso, o endereço email é o mesmo apresentado meses atrás por hackers que vendiam código para acesso ao MtGox, o portal de câmbio de bitcoins. Então… Melhor esperar.