Die Schwachstelle betrifft die Securly-Erweiterung für den Chrome-Browser. Zum Verschlüsseln von Daten mit dem AES-Verfahren leitet die Erweiterung den geheimen Schlüssel auf eine veraltete und unsichere Weise aus einem Ausgangswert ab: Sie verwendet das Verfahren EVP_BytesToKey in Verbindung mit der Hash-Funktion MD5 und durchläuft dabei nur einen einzigen Rechendurchgang. Beide Entscheidungen schwächen den Schutz erheblich. MD5 gilt seit Langem als gebrochen und bietet keine verlässliche kryptografische Sicherheit mehr. Der Verzicht auf mehrere Wiederholungen bei der Schlüsselableitung bedeutet zudem, dass keine sogenannte Schlüsselstreckung stattfindet – ein Verfahren, das das Erraten oder Durchprobieren des zugrunde liegenden Geheimnisses gezielt verlangsamen soll. In der Folge lässt sich der abgeleitete Schlüssel mit deutlich geringerem Aufwand rekonstruieren, wodurch ein Angreifer die mit AES geschützten Daten leichter entschlüsseln kann. Betroffen sind Anwender, die diese Browser-Erweiterung einsetzen.