Leestijd: 2 minuten
Er is een SSL / TLS-kwetsbaarheid geรฏdentificeerd die aanvallers zouden kunnen gebruiken om de cryptografie van HTTPS-verbindingen te downgraden naar een die kwetsbaar is voor decodering. waardoor aanvallers de communicatie tussen een browser en een server kunnen afluisteren. De ernst van dit beveiligingslek is extreem hoog omdat aanvallers het kunnen gebruiken om inloggegevens te verkrijgen voor gevoelige systemen zoals banksites om financiรซle fraude te plegen.
Dit doet denken aan de recente Heartbleed- en POODLE-kwetsbaarheden die ook zouden kunnen worden misbruikt om versleutelde communicatie in gevaar te brengen.
De kwetsbaarheid, bijgenaamd een FREAK-aanval, betreft code van het OpenSSL-project zoals Heartbleed vorig jaar deed. De impact varieert echter per browser van de verschillende leveranciers.
Er is bevestigd dat Apple Safari- en Android-browsers kwetsbaar zijn. Chrome wordt echter niet beรฏnvloed en Internet Explorer en Firefox ook niet.
Hoe kon dit gebeuren?
In de jaren negentig wilde de Amerikaanse regering de export regelen van wat zij beschouwden als versleuteling van "wapenkwaliteit". Ze zouden toestaan โโdat de sterke, voor die tijd 1990-bits codering, in de VS wordt gebruikt, maar de FBI wilde dat de Amerikaanse inlichtingendiensten en wetshandhavingsinstanties "achterdeurtjes" hadden als het ging om buitenlandse communicatie. Er werd een zwakke 128-bits coderingssuite geรฏntroduceerd die 'exportkwaliteit' wordt genoemd voor gebruik buiten de Verenigde Staten en die de Amerikaanse autoriteiten indien nodig zouden kunnen doorbreken.
Hoewel de meeste browsers de 40-bits suites jarenlang niet hebben ondersteund, zijn ze aanwezig in maar liefst een derde van de SSL-bibliotheken en browsers. Als de suite in een browser aanwezig is, kan een aanvaller een zogenaamde 'downgrade-aanval' opzetten, waardoor het gebruik van de zwakke coderingssuite wordt gedwongen. Met behulp van een man-in-the-middle-aanvalplaatst de aanvaller een proces tussen de browser en de server om hun berichten te onderscheppen en te decoderen.
Helaas is deze functie nog steeds ingebouwd in veel webservers, maar liefst een derde. Een aanvaller kan de kwetsbare clients en servers ertoe dwingen de zwakke exportversleuteling in de HTTPS-verbindingen te onderscheppen, de onderschepte berichten te ontsleutelen of te wijzigen met een man-in-the-middle-aanval.
Wat moet je doen?
Om dit type aanval te laten slagen, moeten zowel de webserver als de browser van het slachtoffer kwetsbaar zijn. Als u een webserver gebruikt, moet u de ondersteuning voor alle exportsuites en alle bekende onveilige codes uitschakelen. U moet dan voorwaartse geheimhouding inschakelen. Mozilla heeft een handleiding en SSL-configuratiegenerator gepubliceerd, die bekende goede configuraties voor gangbare servers zullen genereren.
Voor webgebruikers kunt u op deze site controleren of uw browser kwetsbaar is:
https://freakattack.com/clienttest.html
Apple en Google overhaasten oplossingen voor hun browserproblemen, maar dit is misschien een goed moment om de Chromium-browser van Comodo te proberen Comodo Dragon of op Firefox gebaseerd Comodo-ijs Dragon. Beiden hebben ongeรซvenaarde privacy- en beveiligingsfuncties en zijn gratis te downloaden.
START GRATIS VERZOEK KRIJG GRATIS UW DIRECTE BEVEILIGINGSSCOREKAART
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
- De toekomst slaan met Adryenn Ashley. Toegang hier.
- Koop en verkoop aandelen in PRE-IPO-bedrijven met PREIPOยฎ. Toegang hier.
- Bron: https://blog.comodo.com/comodo-news/freak-attack-warning-apple-google-devices-vulnerable/
- : heeft
- :is
- :niet
- 40
- 7
- a
- Alles
- toelaten
- Het toestaan
- ook
- Amerikaans
- an
- en
- android
- elke
- Apple
- ZIJN
- AS
- At
- aanvallen
- Overheid
- Bankieren
- gebaseerde
- BE
- omdat
- geweest
- tussen
- Beetje
- Blog
- zowel
- Breken
- browser
- browsers
- bebouwd
- maar
- by
- kwam
- CAN
- controle
- Chrome
- chromium
- cijfer
- Klik
- klanten
- code
- COM
- plegen
- Gemeen
- Communicatie
- Communicatie
- Comodo Nieuws
- compromis
- Configuratie
- BEVESTIGD
- aansluitingen
- beschouwd
- onder controle te houden
- kon
- Geloofsbrieven
- geheimschrift
- dag
- decoderen
- systemen
- DEED
- anders
- do
- Downgrade
- Download
- in staat stellen
- versleutelde
- encryptie
- handhaving
- Event
- Exploited
- ontdekkingsreiziger
- exporteren
- uiterst
- Kenmerk
- Voordelen
- Feds
- financieel
- financiรซle fraude
- Firefox
- Voor
- Dwingen
- vreemd
- Naar voren
- bedrog
- Gratis
- oppompen van
- voortbrengen
- generator
- krijgen
- goed
- Kopen Google Reviews
- Overheid
- graad
- gids
- gebeuren
- Hebben
- hartverscheurend
- Hoge
- Echter
- HTML
- http
- HTTPS
- geรฏdentificeerd
- if
- Impact
- in
- informatie
- onzeker
- Inzetstukken
- moment
- Intelligentie
- Internet
- internet Security
- geรฏntroduceerd
- problemen
- IT
- HAAR
- jpg
- bekend
- Achternaam*
- Afgelopen jaar
- Wet
- politie
- bibliotheken
- Log in
- man
- veel
- max-width
- berichten
- Midden
- macht
- meest
- MOUNT
- mozilla
- Dan moet je
- nodig
- nieuws
- verkrijgen
- of
- on
- EEN
- openssl
- besturen
- or
- buiten
- Plato
- Plato gegevensintelligentie
- PlatoData
- presenteren
- privacy
- Privacy en Beveiliging
- project
- gepubliceerde
- recent
- verwezen
- die doet denken
- s
- Safari
- score kaart
- veiligheid
- sturen
- gevoelig
- Servers
- Diensten
- moet
- website
- Locaties
- SSL
- Staten
- Still
- sterke
- slagen
- dergelijk
- suite
- ondersteuning
- ondersteunde
- Systems
- dat
- De
- hun
- harte
- ze
- Derde
- dit
- niet de tijd of
- naar
- proberen
- type dan:
- ons
- Amerikaanse overheid
- United
- Verenigde Staten
- ongeรซvenaard
- us
- .
- gebruikt
- gebruikers
- gebruik
- verkoper
- kwetsbaarheden
- kwetsbaarheid
- Kwetsbaar
- gezocht
- waarschuwing
- was
- web
- webserver
- Wat
- Wat is
- wanneer
- welke
- wil
- zou
- jaar
- jaar
- You
- Your
- zephyrnet