Detta problem ska absolut inte underskattas, rapporten nämner möjligheten att utnyttja bristen till att t.ex. ta över en HTTP session och därmed eventuellt få in JS-cryptominer eller än värre ransomware (fast måste fortfarande komma igenom eventuellt virusskydd)
Finns dock några saker där man inte behöver oroa sig, en är just bankärenden då dessa är utformade så att du ska helt säkert kunna använda tjänsten över helt osäkra nätverk. Även SweC är helt säkert att använda så länge du säkerställer att protokollet är HTTPS och inte HTTP.
Trafik som skyddas av VPN är också helt opåverkat av detta problem, även där är ju grundförutsättning att det ska vara säkert även på nätverk man inte alls kontrollerar.
Angående buggen: nu finns ju mer information. Precis som redan nämnts i tråden, är egentligen bara klienterna som ska uppdateras. Kvittar om AP uppdateras eller ej, blir något mer komplicerat att utnyttja problemet om AP uppdateras men rapporten beskriver attackvektorer som ändå fungerar. Tyvärr tror jag inte IT-avdelningar runt om i världen hoppar av glädje där, rätt många fler klienter jämfört med AP...
Vidare tål detta att repeteras: i sin värsta form resulterar detta problem i att krypteringen över WiFi kan ses som icke-existerande.
Säkerhetsprotokoll har dock än långt mer fundamental komponent, nämligen autentisering. I WPA2-Personal baseras autentiseringen på att man känner till en delad hemlighet, "WPA-lösenordet". Denna bug kan inte användas till att läsa ut detta lösenord. Så risken att okända använder din accesspunkt är varken större eller mindre nu än vad det var innan detta problem blev känt.
Autentisering är väldigt användbart även utan kryptering, kryptering utan autentisering är i det närmaste värdelöst (man vet ju inte med vem kan kommunicerar krypterat med då). Autentiseringsdelen av WPA2 är inte påverkat av detta.