Zpráva OpenSSL Foundation popisuje sedm nových chyb, které byly v OpenSSL objeveny a opraveny. Uživatelům doporučuje update OpenSSL na nové verze.
Nejzávažnější hrozbou je chyba SSL/TLS MITM (CVE-2014–0224), kterou objevil japonský vývojář Kikuchi Masashi. Spočívá – zjednodušeně – ve využití podvržené verze iniciačního protokolu (handshake) k oslabení šifrovaného spojení, které je pak možné „odposlouchávat“ útokem typu Man-in-the-middle. Podrobný popis najdete například na blogu objevitele.
OpenSSL prý tuto chybu obsahuje úplně od začátku. Na rozdíl od nedávno odhalené chyby Heartbleed musí mít útočník ke zneužití nového bugu přímý přístup ke komunikaci mezi dvěma počítači – mohl by tak například „odposlouchávat“ SSL/TSL připojení počítače ve veřejné WiFi síti v kavárně.
Chyba ohrožuje všechny verze OpenSSL klientů a servery ve verzích 1.0.1 a 1.0.2-beta1.
OpenSSL používá řada velkých internetových firem, včetně Googlu (v Chrome pro Android). Prohlížeče, které je neobsahují (IE, Firefox, Chrome na desktopu a v iOS nebo Safari), chybami v OpenSSL samozřejmě ohroženy nejsou.
Po nedávném odhalení bugu Heartbleed se velké společnosti sdružené v The Core Infrastructure Initiative (CII) dohodly na tom, že OpenSSL Foundation věnují peníze na dva vývojáře na plný úvazek. Obdobně podpořily také projekty OpenSSH a Network Time Protocol.