-----Messaggio originale----- Da: [email protected] [mailto:[email protected]] Per conto di Niko Usai Inviato: giovedì 10 aprile 2014 09:43 A: [email protected] Oggetto: Re: [ml] bug openssl orrendo... (CVE-2014-0160)
On 09 Apr 2014, at 11:22, Tommaso Gagliardoni <[email protected]> wrote: Ma da quello che credo di aver capito, aver loggato connessioni non fa granché, il bug permette tramite una richiesta ben forgiata di leggere parte della memoria, il che non vuol dire sistematicamente estrarre dati sensibili e/o chiavi, dipende dall'implementazione quello che si riesce a tirar fuori, pare che ci siano stati casi in cui si è riuscito a leggere chiavi private, ma non credo sia così comune. E' un bug gravissimo, ma come sempre le notizie hanno un po aggravato e ingigantito la cosa. ---------------------------- Niko, certo...grabbarsi qualche migliaio di credenziali degli utenti che accedevano alla mail di yahoo utilizzando una vulnerabilità presente da 2 anni non è granchè...hanno ingigantito ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
