Время чтения: 2 минут
Обнаружена уязвимость SSL / TLS, которую злоумышленники могут использовать для понижения криптографии соединений HTTPS до одного уязвимого для расшифровки. позволяя злоумышленникам прослушивать связь между браузером и сервером. Серьезность этой уязвимости чрезвычайно высока, поскольку злоумышленники могут использовать ее для получения учетных данных для входа в систему для таких уязвимых систем, как банковские сайты, для совершения финансового мошенничества.
Это напоминает недавние уязвимости Heartbleed и POODLE, которые также могут быть использованы для взлома зашифрованной связи.
Уязвимость, называемая атакой FREAK, включает в себя код из проекта OpenSSL, как Heartbleed в прошлом году. Тем не менее, влияние зависит от браузера различных поставщиков.
Браузеры Apple Safari и Android были признаны уязвимыми. Тем не менее, Chrome не влияет, как и Internet Explorer и Firefox.
Как это могло случиться?
В 1990-х годах правительство США хотело контролировать экспорт того, что они считали «оружейным» шифрованием. Они позволили бы использовать в США надежное на сегодня 128-битное шифрование, но Федс хотел, чтобы американские разведывательные службы и правоохранительные органы имели «черные ходы», когда речь шла о заграничных коммуникациях. Был введен слабый набор 40-битного шифрования, называемый «экспортным классом» для использования за пределами Соединенных Штатов, который американские власти могут взломать при необходимости.
Хотя большинство браузеров годами не поддерживают 40-битные наборы, они присутствуют в одной трети библиотек и браузеров SSL. Если комплект присутствует в браузере, злоумышленник может смонтировать так называемую «атаку с понижением качества», что вынуждает использовать комплект слабых шифров. Используя атака "человек посередине"злоумышленник вставляет процесс между браузером и сервером для перехвата и дешифрования их сообщений.
К сожалению, эта функция по-прежнему встроена во многие веб-серверы, вплоть до одной трети. Злоумышленник может заставить уязвимые клиенты и серверы использовать слабые шифры экспортного уровня в соединениях HTTPS, перехватывать, дешифровать или изменять сообщения, которые они перехватывают, используя атаку «человек посередине».
Что делать?
Чтобы этот тип атаки был успешным, веб-сервер и браузер жертвы должны быть уязвимы. Если вы используете веб-сервер, вам следует отключить поддержку любых пакетов экспорта и всех известных небезопасных шифров. Затем вам следует включить секретность пересылки. Mozilla опубликовала руководство и SSL Configuration Generator, который будет генерировать известные хорошие конфигурации для общих серверов.
Для веб-пользователей вы можете проверить, уязвим ли ваш браузер на этом сайте:
https://freakattack.com/clienttest.html
Apple и Google срочно решают проблемы с браузерами, но сейчас самое время попробовать браузер Comodo на основе Chromium. Comodo Dragon или на основе Firefox Комодский ледяной дракон, Оба имеют непревзойденные функции конфиденциальности и безопасности и могут быть загружены бесплатно.
НАЧАТЬ БЕСПЛАТНУЮ ИСПЫТАНИЕ ПОЛУЧИТЕ СВОЙ МОМЕНТ БЕЗОПАСНОСТИ БЕСПЛАТНО
- SEO-контент и PR-распределение. Получите усиление сегодня.
- ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
- Чеканка будущего с Эдриенн Эшли. Доступ здесь.
- Покупайте и продавайте акции компаний PREIPO® с помощью PREIPO®. Доступ здесь.
- Источник: https://blog.comodo.com/comodo-news/freak-attack-warning-apple-google-devices-vulnerable/
- :имеет
- :является
- :нет
- 40
- 7
- a
- Все
- позволять
- Позволяющий
- причислены
- американские
- an
- и
- android
- любой
- Apple
- МЫ
- AS
- At
- атаковать
- Власти
- Банковское дело
- основанный
- BE
- , так как:
- было
- между
- Немного
- Блог
- изоферменты печени
- Ломать
- браузер
- браузеры
- построенный
- но
- by
- пришел
- CAN
- проверка
- Chrome
- хром
- шифр
- нажмите на
- клиентов
- код
- COM
- совершать
- Общий
- Связь
- Связь
- Комодо Новости
- скомпрометированы
- Конфигурация
- ПОДТВЕРЖДЕНО
- Коммутация
- считается
- контроль
- может
- Полномочия
- криптография
- день
- Decrypt
- Устройства
- DID
- различный
- do
- Упадок
- скачать
- включить
- зашифрованный
- шифрование
- принуждение
- События
- Эксплуатируемый
- исследователь
- экспорт
- чрезвычайно
- Особенность
- Особенности
- Федералы
- финансовый
- Финансовое мошенничество
- Firefox
- Что касается
- Форс-мажор
- иностранный
- вперед
- мошенничество
- Бесплатно
- от
- порождать
- генератор
- получить
- хорошо
- Правительство
- класс
- инструкция
- происходить
- Есть
- heartbleed
- High
- Однако
- HTML
- HTTP
- HTTPS
- идентифицированный
- if
- Влияние
- in
- информация
- небезопасный
- Вставки
- мгновение
- Интеллекта
- Интернет
- Internet Security
- выпустили
- вопросы
- IT
- ЕГО
- JPG
- известный
- Фамилия
- В прошлом году
- закон
- правоохранительной
- библиотеки
- Войти
- человек
- многих
- макс-ширина
- Сообщения
- средняя
- может быть
- самых
- ГОРУ
- Mozilla
- должен
- необходимый
- Новости
- получать
- of
- on
- ONE
- OpenSSL
- работать
- or
- внешнюю
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- представить
- политикой конфиденциальности.
- Конфиденциальность и безопасность
- процесс
- Проект
- опубликованный
- последний
- назвало
- напоминающий
- s
- Safari
- система показателей
- безопасность
- Отправить
- чувствительный
- Серверы
- Услуги
- должен
- сайте
- Сайтов
- SSL
- Области
- По-прежнему
- сильный
- быть успешными
- такие
- suite
- поддержка
- Поддержанный
- системы
- который
- Ассоциация
- их
- тогда
- они
- В третьих
- этой
- время
- в
- стараться
- напишите
- нам
- Правительство США
- Объединенный
- США
- бесподобный
- us
- использование
- используемый
- пользователей
- через
- продавец
- Уязвимости
- уязвимость
- Уязвимый
- стремятся
- предупреждение
- законопроект
- Web
- веб-сервер
- Что
- Что такое
- когда
- который
- будете
- бы
- год
- лет
- Ты
- ВАШЕ
- зефирнет