읽기 시간 : 2 분
공격자가 HTTPS 연결의 암호화를 해독에 취약한 것으로 다운 그레이드하는 데 사용할 수있는 SSL / TLS 취약점이 확인되었습니다. 공격자가 브라우저와 서버 간의 통신을들을 수 있도록합니다. 이 취약점의 심각도는 공격자가이 취약점을 사용하여 금융 사이트와 같은 민감한 시스템에 대한 로그인 자격 증명을 얻어 금융 사기를 저지를 수 있기 때문입니다.
이것은 암호화 된 통신을 손상시키기 위해 악용 될 수있는 최근의 Heartbleed 및 POODLE 취약점을 연상시킵니다.
FREAK 공격이라는 별명을 가진이 취약점은 지난해 Heartbleed와 마찬가지로 OpenSSL 프로젝트의 코드와 관련이 있습니다. 그러나 그 영향은 공급 업체 브라우저마다 다릅니다.
Apple Safari 및 Android 브라우저는 취약한 것으로 확인되었습니다. 그러나 Chrome은 영향을받지 않으며 Internet Explorer 및 Firefox도 마찬가지입니다.
이것이 어떻게 일어날 수 있습니까?
1990 년대에 미국 정부는 "무기 등급"암호화로 간주되는 것을 수출하기를 원했습니다. 그들은 미국에서 128 비트 암호화를 강력하게 사용할 수 있었지만, Feds는 미국 정보 서비스와 법 집행 기관이 외국 통신과 관련하여“백도어”를 갖기를 원했습니다. 약한 40 비트 암호화 제품군은 미국 이외의 지역에서 사용하기 위해 "수출 등급"이라고하며 미국 당국은 필요할 경우 중단 될 수 있습니다.
대부분의 브라우저는 몇 년 동안 40 비트 제품군을 지원하지 않았지만 SSL 라이브러리 및 브라우저의 XNUMX/XNUMX에 해당합니다. 해당 제품군이 브라우저에있는 경우 공격자는 '다운 그레이드 공격'을 탑재하여 취약한 암호 제품군을 사용하도록 할 수 있습니다. 사용하여 중간자 (man-in-the-middle) 공격공격자는 브라우저와 서버 사이에 프로세스를 삽입하여 메시지를 가로 채고 해독합니다.
불행히도이 기능은 여전히 XNUMX/XNUMX 정도의 많은 웹 서버에 내장되어 있습니다. 공격자는 취약한 클라이언트 및 서버가 HTTPS 연결에서 취약한 내보내기 등급 암호화를 사용하도록하여 중간자 공격을 사용하여 가로채는 메시지를 가로 채거나 변경하도록 할 수 있습니다.
당신은 무엇을해야합니까?
이러한 유형의 공격이 성공하려면 웹 서버와 피해자의 브라우저가 모두 취약해야합니다. 웹 서버를 운영하는 경우 모든 내보내기 제품군 및 알려진 모든 안전하지 않은 암호에 대한 지원을 비활성화해야합니다. 그런 다음 전달 보안을 활성화해야합니다. Mozilla는 공통 서버에 대해 알려진 올바른 구성을 생성하는 안내서 및 SSL 구성 생성기를 게시했습니다.
웹 사용자의 경우이 사이트에서 브라우저가 취약한 지 확인할 수 있습니다.
https://freakattack.com/clienttest.html
Apple과 Google은 브라우저 문제에 대한 수정 프로그램을 서두르고 있지만 Comodo의 Chromium 기반 브라우저를 사용해보십시오. 코모도 드래곤 또는 Firefox 기반 코모도 아이스. 둘 다 최고의 개인 정보 보호 및 보안 기능을 가지고 있으며 무료로 다운로드 할 수 있습니다.
무료 평가판 시작 인스턴트 보안 점수를 무료로 받으십시오
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoAiStream. Web3 데이터 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 미래 만들기 w Adryenn Ashley. 여기에서 액세스하십시오.
- PREIPO®로 PRE-IPO 회사의 주식을 사고 팔 수 있습니다. 여기에서 액세스하십시오.
- 출처: https://blog.comodo.com/comodo-news/freak-attack-warning-apple-google-devices-vulnerable/
- :있다
- :이다
- :아니
- 40
- 7
- a
- All
- 수
- 허용
- 또한
- 미국 사람
- an
- 및
- 기계적 인조 인간
- 어떤
- Apple
- 있군요
- AS
- At
- 공격
- 당국
- 은행
- 기반으로
- BE
- 때문에
- 된
- 사이에
- 비트
- 블로그
- 두
- 흩어져
- 브라우저
- 브라우저
- 내장
- 비자 면제 프로그램에 해당하는 국가의 시민권을 가지고 있지만
- by
- 온
- CAN
- 검사
- 크롬
- 크롬
- 암호
- 클릭
- 클라이언트
- 암호
- COM
- 범하다
- 공통의
- 의사 소통
- 커뮤니케이션
- 코모도 뉴스
- 타협
- 구성
- 확인 됨
- 연결
- 고려
- 제어
- 수
- 신임장
- 암호 법
- 일
- 해독
- 디바이스
- DID
- 다른
- do
- 다운 그레이드
- 다운로드
- 가능
- 암호화
- 암호화
- 시행
- 이벤트
- 악용
- 탐색기
- 수출
- 매우
- 특색
- 특징
- 연방 정부
- 금융
- 금융 사기
- 파이어 폭스
- 럭셔리
- 힘
- 외국의
- 앞으로
- 사기
- 무료
- 에
- 생성
- 발전기
- 얻을
- 좋은
- 구글
- Government
- 학년
- 안내
- 발생
- 있다
- Heartbleed
- 높은
- 그러나
- HTML
- HTTP
- HTTPS
- 확인
- if
- 영향
- in
- 정보
- 불안 정한
- 삽입물
- 즉시
- 인텔리전스
- 인터넷
- 인터넷 보안
- 소개
- 문제
- IT
- 그
- JPG
- 알려진
- 성
- 작년
- 법
- 법 집행
- 도서관
- 로그인
- 사람
- .
- 최대 폭
- 메시지
- 중간
- 수도
- 가장
- 산
- 모질라
- 절대로 필요한 것
- 필요
- news
- 획득
- of
- on
- ONE
- 하려면 openssl
- 운영
- or
- 외부
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 제시
- 개인 정보 보호
- 개인 정보 및 보안
- 방법
- 프로젝트
- 출판
- 최근
- 참조
- 연상
- s
- Safari
- 스코어 카드
- 보안
- 보내다
- 민감한
- 서버
- 서비스
- 영상을
- 대지
- 사이트
- SSL
- 미국
- 아직도
- 강한
- 성공
- 이러한
- 스위트
- SUPPORT
- 지원
- 시스템은
- 그
- XNUMXD덴탈의
- 그들의
- 그때
- 그들
- 제삼
- 이
- 시간
- 에
- 시도
- 유형
- 우리
- 미국 정부
- 미국
- United States
- 타의 추종을 불허하는
- us
- 사용
- 익숙한
- 사용자
- 사용
- 공급 업체
- 취약점
- 취약점
- 취약
- 원
- 경고
- 였다
- 웹
- 웹 서버
- 뭐
- 언제
- 어느
- 의지
- 겠지
- year
- 년
- 자신의
- 너의
- 제퍼 넷