SSL Hole Cracks Avaa Secured Web Traffic

tietyn verkkoliikenteen käyttäminen asiakkaan, kuten Web-selaimen, Webin tai muun palvelimen välillä. Tämä tarkoittaa, että suurin osa kotikäyttäjistä ei todennäköisesti kohdisteta erikseen näihin potentiaalisiin ihmisen keskellä tapahtuviin hyökkäyksiin, sanoo löydy Marsh Ray, tietoturva-tutkija PhoneFactorissa, joka tarjoaa puhelinpohjaisia ​​kaksiteknisiä todennusratkaisuja.

Yritykset ja organisaatiot ovat kuitenkin todennäköisiä tavoitteita. Per Ray, kaikki SSL-suojatut liikennetiedot voivat mahdollisesti olla haavoittuvia riippumatta siitä, onko kyseessä https-sivusto, suojattu tietokannan tietoliikenne tai suojattu sähköpostiyhteys. Ongelma ei salli SSL-salatun datan salauksen purkamista ja varastamista, vaan sen sijaan mahdollistaa komennon lisäämisen tietovirtaan.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Tämä olisi tarpeeksi huono https-liikenteelle, jossa uhrin Web-selain voitaisiin tehdä tietojen lähettämiseksi hyökkääjän hallinnassa olevalle sivustolle. Ja se saattaa osoittautua tuhoisaksi tietokantapalvelimelle.

Ray sanoo, että PhoneFactor havaitsi alun perin virheen elokuussa suorittaessaan sisäisen tietoturva-testauksen ja pitänyt sitä hiljaisena, kun toimittajat ja ohjelmistoryhmät tekivät korjausta. Samaan aikaan riippumaton tutkija löysi myös virheen ja uutiset rikkoutuivat.

Merkit ovat käynnissä, mutta niitä ei ole vielä saatavilla. Nykyisin ehdotettu korjaus vaatii kaikkien asiakkaiden ja palvelinten sovellusten, kuten web-selainten, sähköpostiohjelmien ja muiden SSL-kirjastojen käyttävien ohjelmien, korjaamisen Ray: n mukaan.

PhoneFactorin viesti ongelmasta on yhtiön kotisivulla ja turvallisuuden tutkija nimeltä Chris Paget on lähettänyt ajatuksensa aiheesta (selaa huomautuksia nähdäksesi jonkin verran eteenpäin ja eteenpäin Ray: n ja Pagetin välillä). IDG-uutispalvelussa on myös hyvä tarina aiheesta.