Mentre ancora oggi si parla di Heartbleed e dell’allarme suscitato da questa vulnerabilità a carico della libreria OpenSSL, recentemente l’implementazione libera per il Secure Sockets Layer sarebbe stata corretta al fine di eliminare un bug che sarebbe stato presente in essa da almeno 10 anni.
La scoperta di tale problematica sarebbe stata effettuata dall’informatico Masashi Kikuchi, quest’ultimo avrebbe classificato il bug come CCS Injection Vulnerability, ma il suo livello di pericolosità dovrebbe essere comunque inferiore rispetto a quello di Heartbleed.
Sostanzialmente (in via teorica), il bug avrebbe potuto permette ad un utente malintenzionato di sottrarre informazioni sensibili veicolote tra client e server attraverso comunicazioni cifrate, questo nonostante l’utilizzo di un apposito protocollo di sicurezza.
Anche se la possibilità di un attacco basato sulla CCS Injection Vulnerability è condizionata alla presenza di configurazioni specifiche, essa avrebbe potuto permettere di mettere le mani su dati "in chiaro" divenuti disponibili tramite fuoriuscite di memoria.
