Ny sårbarhed dukker op i hælene på »Heartbleed«

To måneder efter den omfattende internetsårbarhed »Heartbleed« sendte mange internettjenester på overarbejde for at få lukket sikkerhedshullet, er en ny sårbarhed blevet opdaget i den berørte krypteringssoftwaren. Det er ifølge IT-sikkerhedsfolk en mindre alvorlig trussel.

IT-sikkerhedsfolk har opdaget en ny fejl i krypteringssoftwaren OpenSSL, der også var den software, der blev berørt af den omfattende sikkerhedsbrist »Heartbleed« i april. Den nyopdagede sårbarhed er imidlertid sværere for hackere at udnytte. Fold sammen
Læs mere
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Den omfattende sikkerhedsbrist »Heartbleed«, der blev offentlig kendt i april og berørte en strøm af internettjenester, blev beskrevet som en af de største sikkerhedsbrister på internettet i årevis - og sendte et væld af internetselskaber på overarbejde for at få opdateret systemerne.

Faren ved Heartbleed var, at sikkerhedsbristen potentielt gjorde det muligt for hackere at tilkæmpe sig adgang til brugerdata. Nu lyder det fra IT-sikkerhedsanalytikere, at de har afsløret en ny fejl i den software, der var berørt af Heartbleed, skriver nyhedsbureauet Reuters.

Softwaren OpenSSL bruges til at kode kommunikation mellem computere og telefoner og de netsteder, man besøger - som eksempelvis Google, Facebook, Amazon og Yahoo. 

Den nyopdagede fejl i softwaren kan udnyttes af hackere til at få adgang til kommunikation på de internettjenester, som benytter OpenSSL. IT-sikkerhedseksperter har ifølge Reuters dog vurderet, at den nyopdagede sårbarhed er vanskeligere at udnytte og en mindre alvorlig trussel end Heartbleed.

Udviklerne bag OpenSSL-softwaren har torsdag udsendt en opdatering til softwaren, og den indeholder syv fejlrettelser, som brugerne af softwaren - altså internettjenesterne - skal have installeret for at sikre, at hackere ikke udnytter den sårbar, der er i softwaren.

»Indtil brugerne af softwaren får opdateret deres systemer, er »der et åbent vindue« for avancerede hackere til at iværksætte et angreb og udnytte de nyligt opdagede sårbarheder,« har Tal Klein, der er vicedirektør i sikkerhedsfirmaet Adallom vurderet over for Reuters.

Der har endnu ikke været meldinger om, hvor mange internettjenester der er ramt af sårbarheden - og hvilke tjenester, der i givet fald er tale om. Fejlen er fundet i ældre versioner af OpenSSL-softwaren, skriver amerikanske Huffington Post, og hertil vurderer sikkerhedseksperter, at tjenester, som benytter browsere Explorer, Firefox og Chrome angiveligt skulle være sikret mod fejlen.

Da Heartbleed blev opdaget i april, skabte det en del internetpanik den efterfølgende tid, idet sårbarheden blev beskrevet som en af de største internetsårbarheder i årevis. OpenSSL-softwaren, der er en krypteringsmetode, anvendes af næsten to tredjedele af alle netsteder - også de store meget velkendte tjenester som Google, Facebook, Twitter og andre, der da også hurtigt var i gang med at tjekke deres systemer for, om de var berørt af sårbarheden.

Mange internettjenester måtte på overarbejde for at opdatere softwaren, men mange kunne også meddele, at de ikke var berørt af Heartbleed. De steder, hvor sårbarheden blev opdaget, var selskaberne bag tjenesterne ude og bede deres brugere om at skifte adgangskode. 

Det er da også en software, som internettjenesterne skal opdatere for at lukke eventuelle sikkerhedssårbarheder, og altså ikke brugerne selv. Derfor var der ikke i forbindelse med Heartbleed-softwaren noget, den almindelige bruger selv kunne gøre - ud over at ændre sin adgangskode, når de blev bedt om det. De nyopdagede fejl vil for de berørte internettjenester også kræve, at selskaberne bag opdaterer deres systemer, og udviklerne bag OpenSSL har udgivet en opdatering, der retter fejlene.