Outro furo no OpenSSL?

Um grupo do Anonymous garante que a última versão do OpenSSL – justamente aquela que veio para consertar o Heartbleed – tem um furo igual ou pior. Eles descobriram o problema e comprovaram a falha, embora especialistas no assunto ainda contestem a descoberta.

O que o pessoal do Anonymous diz no Pastebin é o seguinte:

"Descobrimos uma vulnerabilidade na versão patch do OpenSSL. Uma checagem com ausência de limites na manipulação da variável DOPENSSL_NO_HEARTBEATS. Nós conseguimos dar overflow em DOPENSSL_NO_HEARTBEATS e pegar trechos de 64kb de dados novamente, na nova versão".

Os hackers dizem também que podem utilizar essa vulnerabilidade por bastante tempo até que ela seja consertada, e exstão vendendo o script do exploit por 2.5 Bitcoins (US$1.069 ou €780). O email dos caras é BitWasp@safemail.net.

Eles dizem ainda: "Somos uma equipe de cinco pessoas e trabalhamos direto durante 14 dias para descobrir uma solução e nós descobrimos! Não temos nenhuma razão para torná-la pública, já que as empresas farão nova atualização".

Pode não ser verdade. O especialista em linguagem C Jann Horn diz que essa vari[avel não começa com a letra D e é utilizada para definir se o heartbeats será compilado ou não. Além disso, o endereço email é o mesmo apresentado meses atrás por hackers que vendiam código para acesso ao MtGox, o portal de câmbio de bitcoins. Então… Melhor esperar.