Ese problema de Heartbleed ya nos hizo temblar un poco con respecto al uso de OpenSSL, y ahora aparece una nueva vulnerabilidad con este software, que podría exponer información privada.

El reporte de bug CVE-2014-0224 indica que si una aplicación con OpenSSL de cualquier versión se conecta a un servidor con el mismo software, en versión 1.0.1 o 1.0.2-beta1, podría permitirse que un hacker intercepte la comunicación, la descifre y manipule, por medio de un ataque conocido como de "intermediario" o "man-in-the-middle".

El hecho es que aunque el problema es bastante grave, en realidad es muy limitado, porque la posibilidad de que las tres variables (aplicación OpenSSL, servidor OpenSSL con la versión específica y ataque de intermediario) se cumplan al unísono es poco probable.

Es más, Adam Langley, ingeniero de seguridad de Google, confirmó que los navegadores más populares (Internet Explorer, Firefox, Chrome para escritorio y iOS, Safari, etc.) no usan OpenSSL y por lo tanto no son vulnerables a este problema.

De todas maneras, un parche que soluciona el bug ya existe, y se recomienda la instalación en las versiones afectadas y anteriores, para ser precavidos. Al contrario de recomendar que OpenSSL deje de usarse, el software cada vez es más seguro. De hecho, el investigador que descubrió esta vulnerabilidad, Masashi Kikuchi, se puso a mirar el código debido al problema de Heartbleed. Eso quiere decir que cada vez hay más gente confirmando que el software sea seguro, y eso hace que tengamos un producto de mejor calidad.

Fuente