В OpenSSL и Apple SecureTransport до сих пор присутствует уязвимость более чем 20-летней давности

04.03.2015 | 10:28
Исследователи безопасности предупреждают, что в OpenSSL и Apple SecureTransport свыше 20 лет существует уязвимость "FREAK Attack", позволяющая раскрыть важные данные. Как сообщает Washington Post, эта брешь появилась из-за экспортных ограничений, которые присутствовали в США в 90-х годах, и может поставить под угрозу безопасность миллионов web-сайтов.

Уязвимость позволяет злоумышленнику расшифровать файлы cookie и прочую важную информацию, полученную через соединение HTTPS. Отметим, что брешь работает лишь на некоторых браузерах, использующих устаревшую версию OpenSSL / SecureTransport (например, Apple Safari).
Оказалось, что злоумышленники могут с помощью определенных манипуляций вынудить уязвимые приложения использовать слабые ключи шифрования. В результате хакеры могут расшифровать и похитить важную информацию, передающуюся через SSL-трафик.

Уязвимости был присвоен идентификатор CVE-2015-0204. Разработчики OpenSSL исправили брешь в январе нынешнего года, в то время как Apple пообещала выпустить обновление для SecureTransport на iOS и OS X. Пользователям данных операционных систем рекомендуется проверить наличие исправлений.
Брешь существует из-за того, что в 90-х годах правительство США запрещало американцам экспортировать ПО, которое не использовало специальные «экспортные наборы ключей». Максимальная длина ключа в таких наборах не должна была превышать 512 бит. С тех пор ограничения были сняты, но некоторые реализации SSL и TLS до сих пор поддерживают устаревшую технологию.
OpenSSL, SSL, TLS, уязвимость
По материалам securitylab.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код