• Poprawki i aktualizacje
• Zagrożenia i podatności
• Wiadomości ogólne

Specjaliści ds. bezpieczeństwa wykorzystując lukę, stworzyli w strukturze PKI - używanego do wystawiania certyfikatów dla bezpiecznych stron internetowych, podrobiony certyfikat CA zaufany we wszystkich przeglądarkach internetowych. Atak wykorzystuję tzw. "kolizję" w funkcji haszującej MD5, czyli możliwość posiadania przez dwa różne pliki tej samej sumy kontrolnej. Podatność ta odkryta została już w 2004 roku przez naukowców z Chin.
Pozwala to na podszycie się pod jakąkolwiek stronę protokołu HTTPS. Niczego nie świadomy użytkownik będzie w posiadaniu fałszywych certyfikatów i będzie mógł z łatwością być przekierowywany do fałszywych stron HTTPS, np. stron bankowych legitymujących się jako autentyczne.

Zalecane jest zaprzestanie wykorzystywania MD5 i przejście na algorytm SHA-1 lub SHA-2. Więcej informacji znajduje się na stronie http://www.win.tue.nl/hashclash/rogue-ca oraz w wydanym przez firmę Microsoft poradniku bezpieczeństwa 961509.