Серьезная уязвимость была обнаружена в протоколах TLS и SSL, используемых для криптографической защиты веб-страниц и данных, передаваемых на сервер. Специалисты по безопасности из компании PhoneFactor Марш Рей и Стив Диспенса обнародовали информацию об уязвимостях в обеих протоколах.
Исследователи заявили, что уязвимость в SSL была найдена ими еще в августе, а в TLS - в начале сентября. В представленных технических данных сказано, что уязвимость в TLS кроется в процессе аутентификации. В результате злоумышленник может вторгнуться в сессию легитимного пользователя и успешно перехватывать данные от пользователя и сервера.
Проблема кроется в так называемой "дыре аутентификации": во время процесса криптографической аутентификации происходит серия электронных обменов контрольными данными между клиентом и сервером. Однако злоумышленник может подменить пакеты и нарушить процесс аутентификации, в дальнейшем пропуская пакеты данных через свой компьютер.
Исследователи добавляют, что уязвимость также позволяет реализовать практическую атаку против защищенного протокола https, представляющего собой комбинацию базового веб-протокола и TLS. Эксперты говорят, что проблема для большинства крупных пользователей довольно серьезная, так как популярность SSL и TLS очень и даже если сейчас обновить данные протоколы, то обновление многочисленного программного обеспечения с поддержкой данных технологий займет какое-то время.
Источник: Security Lab
|
