De kwetsbaarheid zit volgens beveiligingsonderzoeker Marsh Ray in het feit dat elke ssl-transactie valt op te delen in meerdere, afzonderlijke transacties. Een hacker kan in theorie zijn eigen berichten tussen die opgedeelde transacties wurmen, en zo commando's versturen aan een client. De client gaat uit van een vertrouwde, versleutelde transactie, en voert de commando's daarom gewoon uit.

Het lek wordt uiterst serieus genomen, en sinds september is een consortium van grote techbedrijven bezig om het te verhelpen. Werkbare exploits zijn al gedemonstreerd op Apache en IIS; beide webservers lieten verkeer uitgaan die valt te vergiftigen door een hacker, waardoor de client aan de andere kant kwetsbaar was. Ray heeft het lek indertijd gemeld onder een non-disclosureclausule, wat betekent dat hij over het lek zou zwijgen tot het moment dat het gat gedicht is.

Dat Ray nu een boekje open doet, terwijl het consortium nog geen specificatie heeft ingediend bij de IETF, heeft er alles mee te maken dat een andere beveiliger naar buiten is geklapt toen hij recent uit zichzelf ongeveer dezelfde ontdekking deed.

Hoewel het allemaal heel ernstig klinkt, zegt een andere hacker, Moxie Marlinspike, tegenover The Register dat het allemaal nog meevalt. Dat komt omdat de hack uitgaat van client certificate authentication, en dat wordt volgens de hacker in de echte wereld niet veel gebruikt.

De ontdekkers spreken op hun beurt trouwens weer tegen dat het alleen op client certificate authentication werkt. Bron: Techworld