Microsoft konuyu inceliyor. Henüz resmi bir açıklama yapmadı. Bir güvenlik uzmanı “Eğer Microsoft IE kullanıcısı iseniz SSL’in kriptografik koruması çalışmayacaktır” diyor.
Dögüdeki delik,hacker’lara kullanıcıyı normal bir web sitesinden alışveriş ettiklerini düşündürecek şekilde kandırmasına izin veriyor. Bu yolla da kredi kartı ve diğer şahsi bilgiler alınabiliyor.
Hata San Francisko’lu yazılımcı Mike Benham tarafınan keşfedildi. Benham SecurityFocus internet sitesine bir hata izleme maili gönderdi ve tespit edilmemiş “man in the middle – arayerdeki adam” saldırısının mümkün olduğuna işaret etti.
Güvenlik uzmanlarından bazıları bunun önemli bir sorun olduğunu söylüyorlar. Diğerleri ise, bu yolla bilgisayarlara sızmanın karmaşıklığı ve yüksek düzeyde bilgi gerektirmesi nedeniyle, bu tür saldırıların olasılığını çok az olarak tahmin ediyorlar.
Benham gönderdiği uyarıda Internet Explorer versiyon 5.0, 5.5 ve 6.0’ın bu döngü deliklerine sahip olduğunu ve dijital sertifikaların işlenmesi sırasında sızma olabileceğini belirtiyor.
Benham geçerli sertifikası olan web site operatörünün yerine başka bir web sitesinin operatörünün geçebildiğini şu sözlerle belirtiyor “Bu hatanın çok ciddi olduğunu düşünüyorum. Herhangi bir standart sızma tekniği ile bu açıktan girecek kişinin saldırıyı yapabilir”. Benham Netscape’de bu hatanın olmadığını söylüyor.
Microsoft hatayı araştırdığını söylüyor. Microsoft’un Güvenlik Merkezi Müdürü Scott Culp, bunun bir açık olarak değerlendirilip değerlendirilemeyecği konusunda emin olmadığını söylüyor. Ancak Microsoft ve VeriSign konu üzerinde birlikte çalışıyorlar. VeriSign sözcüsü şu ana kadar bu açığın kullanılarak başarılı bir atak yapıldığına dair gerçek bir olayın raporlanmadığını belirtti.
Internet Explorer’da şu ana kadar pekçok açık çıktı. Tüm açıklara ait yamalar yayınlandı.