La nota azienda di cyber security, ESET, ha riferito di aver sanato una criticità nella funzione di scansione del protocollo SSL/TLS, presente nei prodotti elencati nella sezione “Prodotti interessati”. La suddetta fragilità avrebbe potuto indurre un browser a fidarsi di un sito contraddistinto da un certificato sottoscritto mediante un algoritmo desueto e pertanto non affidabile.
La vulnerabilità risiedeva nell’errata verifica della catena di certificazione del server, all’interno della funzione di scansione del traffico sicuro. Un certificato intermedio siglato con l’algoritmo MD5 o SHA1 era ritenuto affidabile: ne conseguiva che il browser, su un sistema con la funzione di scansione del traffico sicuro di ESET attivata, poteva essere indotto a fidarsi di un sito assicurato con un certificato di questo tipo.
Secondo quanto riferito da ESET, non ci sono indizi che evidenzino un sfruttamento di tale vulnerabilità in campo aperto; tuttavia, per precauzione, l’azienda ha riservato l’ID CVE per l’identificazione di questo punto debole, assegnandogli il numero CVE-2023-5594. L’indice di valutazione del rischio per la sicurezza CVSS v3.1 è stato quantificato in 7.5, con il seguente vettore CVSS: AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:L/A:N.
Alla luce di tale riscontro, ESET pone l’accento sull’importanza di mantenere i prodotti di cyber security sempre aggiornati, per garantire le adeguate misure di protezione contro eventuali minacce. L’aggiornamento delle soluzioni software è un elemento chiave per la salvaguardia della privacy, evitando possibili intrusioni esterne o attacchi informatici. L’industria della cyber security, infatti, è in costante cambiamento, con nuovi tipi di minacce che emergono quotidianamente: mantenere i dispositivi al passo con gli aggiornamenti è fondamentale per garantire un livello ottimale di sicurezza.