خبراء أمنيون يكتشفون ثغرة جديدة في برمجية التشفير OpenSSL
كشف باحثون أمنيون اليوم الخميس عن ثغرة جديدة في برمجية التشفير المستخدمة على نطاق واسع، “أوبن إس إس إل” OpenSSL، لكنهم قالوا إنها لا تشكل تهديدا خطيرا مثل ثغرة “هارتبليد” Heartbleed التي ظهرت قبل عام في نفس البرمجية.
وكانت ثغرة “هارتبليد” قد أثارت الذعر بين الجميع عندما جرى الكشف عنها في نيسان/أبريل 2014، وقد أجبرت هذه الثغرة العشرات من مصنعي الحواسيب الشخصية، والبرمجيات، ومعدات الشبكات، على إصدار إصلاح لمئات المنتجات.
ووفقا للخبراء الذين ساعدوا الشركات على تحديد الثغرة الجديدة في شبكاتهم، خشي مراقبو الأمن السيبراني من أن هذه الثغرة قد تكون خطيرة مثل “هارتبليد”. وظهرت المخاوف بعد أن كشفت الجهة المسؤولة عن برمجية “أوبن إس إس إل”، قبل عدة أيام عزمها إطلاق دفعة جديدة من التحديثات.
ودعا كريس توماس، وهو استراتيجي لدى شركة الأمن السيبراني “تنيبل نتورك سيكيوريتي” Tenable Network Security الجميع إلى اتخاذ جميع الثغرات على محمل الجد.
وكانت الجهة المسؤولة عن برمجية “أوبن إس إس إل” قد أصدرت تحديثات لأربعة إصدارات من البرمجية، والتي تغطي 12 تصحيحًا أمنيًا للثغرات التي أُبلغت بها في الأشهر الأخيرة من قبل العديد من الباحثين في الأمن السيبراني.
وقال إيفان ريستيك مدير أمن التطبيقات لدى شركة “كواليس” Qualys إنه لم يكن قلقا كثيرا من الثغرات الجديدة لأن معظمها تنطوي على أخطاء برمجية في الإصدار الجديد من برمجية “أوبن إس إس إل”، الذي لا يجري استخدامه على نطاق واسع.
وأوضح ريستيك أن إحدى التهديدات تشمل جعل النظم المصابة عرضة لما يسمى بهجمات “الحرمان من الخدمة الموزعة” DDoS التي تعطل حركة المرور على الشبكة، هذا ولا تضر أي من التهديدات بتقنية التشفير المستخدمة لتشفير البيانات.