La scoperta della vulnerabilità nota come “gotofail”, poiché dovuta a una riga di codice in cui è stato utilizzato in modo non corretto il comando “goto”, ha indotto alcuni produttori e sviluppatori a verificare la presenza di errori simili in altri software. La società Red Hat ha scoperto una vulnerabilità simile nella libreria GnuTLS, implementazione libera dei protocolli SSL e TLS.
Il problema è molto simile a quello riscontrato e poi corretto con OS X 10.9.2 da Apple e rende possibile un attacco del tipo “man in the middle”, permettendo teoricamente a chi lo realizza di accedere via Internet ai dati che un utente scambia dal proprio dispositivo elettronico. Ricordiamo che secondo Matthew Green, docente di crittografia della Johns Hopkins University, questa falla «è il peggio che si possa immaginare». In pratica il sistema non è in grado di riconoscere in maniera affidabile un sito protetto via SSL, banche, Google, Facebook, siti di ecommerce. Tutti quelli che stabiliscono un collegamento criptato tra i server e il computer di destinazione, quelli che, insomma, hanno un indirizzo che comincia per https e mostrano un lucchetto nel browser.
Come accennato Apple ha già eliminato questa vulnerabilità prima con un aggiornamento di iOS 7 e successivamente anche con OS X 10.9.2. Per quanto riguarda il mondo Gnu-Linux, sono state rese disponibili patch per le versioni 2.x/3.x di GnuTLS. Gli amministratori di sistema avranno un bel da fare poiché GnuTLS è sfruttato da molte distribuzioni Linux quali Red Hat Enterprise Linux, SUSE Linux Enterprise Desktop e anche da software quali GNOME, Weechat, wireshark, Lynx e CUPS.
