読書の時間: 2 分
攻撃者がHTTPS接続の暗号を解読に対して脆弱なものにダウングレードするために使用できるSSL / TLSの脆弱性が確認されています。 攻撃者がブラウザとサーバー間の通信を傍受できるようにします。 攻撃者がこの脆弱性を使用して、金融サイトなどの機密システムのログイン認証情報を取得し、金融詐欺を行うことができるため、この脆弱性の深刻度は非常に高いです。
これは、暗号化された通信を侵害するために悪用される可能性がある最近のHeartbleedおよびPOODLEの脆弱性を連想させます。
この脆弱性は、FREAK攻撃と呼ばれ、昨年のHeartbleedと同様に、OpenSSLプロジェクトのコードに関連しています。 ただし、影響はベンダーのブラウザーによって異なります。
Apple SafariおよびAndroidブラウザーが脆弱であることが確認されています。 ただし、Chromeは影響を受けず、Internet ExplorerおよびFirefoxも影響を受けません。
これはどうして起こりましたか?
1990年代、米国政府は、「武器グレード」の暗号化と見なされるものの輸出を制限したいと考えました。 彼らは当時、強力な、128ビット暗号化を米国で使用することを許可していましたが、Fedsは米国の諜報機関と法執行機関に外国通信に関して「バックドア」を設けることを望んでいました。 必要に応じてアメリカ当局が破ることができる米国外で使用するための「輸出グレード」と呼ばれる弱い40ビット暗号化スイートが導入されました。
ほとんどのブラウザは40ビットスイートを何年もサポートしていませんが、SSLライブラリとブラウザのXNUMX分のXNUMXに存在します。 スイートがブラウザーに存在する場合、攻撃者は「ダウングレード攻撃」と呼ばれるものをマウントして、弱い暗号スイートの使用を強制することができます。 を使って 中間者攻撃、攻撃者はブラウザとサーバーの間にプロセスを挿入し、メッセージを傍受して復号化します。
残念ながら、この機能はまだXNUMX分のXNUMXもの多くのWebサーバーに組み込まれています。 攻撃者は、HTTPS接続で脆弱なエクスポートグレードの暗号化をインターセプトするように脆弱なクライアントとサーバーに強制して、中間者攻撃を使用してインターセプトするメッセージを復号化または変更することができます。
あなたはどうすればいいの?
このタイプの攻撃が成功するには、Webサーバーと被害者のブラウザの両方が脆弱である必要があります。 Webサーバーを運用している場合は、エクスポートスイートとすべての既知の安全でない暗号のサポートを無効にする必要があります。 次に、転送秘密を有効にする必要があります。 Mozillaは、ガイドとSSL構成ジェネレータを公開しています。これは、一般的なサーバーの既知の適切な構成を生成します。
Webユーザーの場合、次のサイトでブラウザが脆弱かどうかを確認できます。
https://freakattack.com/clienttest.html
AppleとGoogleはブラウザの問題の修正を急いでいますが、これはComodoのChromiumベースのブラウザを試す良い機会かもしれません コモドドラゴン またはFirefoxベース コモドアイスドラゴン。 どちらにも比類のないプライバシーとセキュリティ機能があり、無料でダウンロードできます。
無料トライアルを開始 インスタントセキュリティのスコアカードを無料で入手
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- プラトアイストリーム。 Web3 データ インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- 未来を鋳造する w エイドリエン・アシュリー。 こちらからアクセスしてください。
- PREIPO® を使用して PRE-IPO 企業の株式を売買します。 こちらからアクセスしてください。
- 情報源: https://blog.comodo.com/comodo-news/freak-attack-warning-apple-google-devices-vulnerable/
- :持っている
- :は
- :not
- 40
- 7
- a
- すべて
- 許す
- 許可
- また
- アメリカ
- an
- および
- アンドロイド
- どれか
- Apple
- です
- AS
- At
- 攻撃
- 当局
- バンキング
- ベース
- BE
- なぜなら
- き
- の間に
- ビット
- ブログ
- 両言語で
- ブレーク
- ブラウザ
- ブラウザ
- 内蔵
- 焙煎が極度に未発達や過発達のコーヒーにて、クロロゲン酸の味わいへの影響は強くなり、金属を思わせる味わいと乾いたマウスフィールを感じさせます。
- by
- came
- 缶
- チェック
- クロム
- クロム
- 暗号
- クリック
- クライアント
- コード
- COM
- コミット
- コマンドと
- コミュニケーション
- 通信部
- コモドニュース
- 妥協
- 確認済み
- Connections
- 見なさ
- コントロール
- 可能性
- Credentials
- 暗号
- 中
- 解読する
- Devices
- DID
- 異なります
- do
- ダウングレード
- ダウンロード
- enable
- では使用できません
- 暗号化
- 執行
- イベント
- 搾取
- エクスプローラ
- export
- 非常に
- 特徴
- 特徴
- FBI捜査官
- ファイナンシャル
- 金融詐欺
- Firefoxの
- 強
- 外国の
- フォワード
- 詐欺
- 無料版
- から
- 生成する
- ジェネレータ
- 取得する
- 良い
- でログイン
- 政府・公共機関
- グレード
- ガイド
- 起こる
- 持ってる
- ほのぼの
- ハイ
- しかしながら
- HTML
- HTTP
- HTTPS
- 特定され
- if
- 影響
- in
- 情報
- 安全でない
- インサート
- インスタント
- インテリジェンス
- インターネット
- インターネットセキュリティー
- 導入
- 問題
- IT
- ITS
- JPG
- 既知の
- 姓
- 昨年
- 法律
- 法執行機関
- ライブラリ
- ログイン
- man
- 多くの
- 最大幅
- メッセージ
- 真ん中
- かもしれない
- 最も
- MOUNT
- モジラ
- しなければなりません
- 必要とされる
- ニュース
- 入手する
- of
- on
- ONE
- opensslの
- 操作する
- or
- 外側
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- 現在
- プライバシー
- プライバシーとセキュリティ
- プロセス
- プロジェクト
- 公表
- 最近
- 言及
- 連想させます
- s
- Safari
- スコアカード
- セキュリティ
- 送信
- 敏感な
- サーバー
- サービス
- すべき
- ウェブサイト
- サイト
- SSL
- 米国
- まだ
- 強い
- 成功する
- そのような
- スイート
- サポート
- サポート
- システム
- それ
- アプリ環境に合わせて
- その後
- 彼ら
- 三番
- この
- 時間
- 〜へ
- 試します
- type
- 私達
- アメリカ政府
- ユナイテッド
- 米国
- 比類のない
- us
- つかいます
- 中古
- users
- ベンダー
- 脆弱性
- 脆弱性
- 脆弱な
- wanted
- 警告
- ました
- ウェブ
- ウェブサーバー
- この試験は
- 何ですか
- いつ
- which
- 意志
- でしょう
- 年
- 年
- You
- あなたの
- ゼファーネット