Läsningstid: 2 minuter
En SSL / TLS-sårbarhet har identifierats som angripare kan använda för att nedgradera kryptografin av HTTPS-anslutningar till en sårbar för dekryptering. så att angripare kan lyssna på kommunikation mellan en webbläsare och en server. Svårighetsgraden av denna sårbarhet är extremt hög eftersom angripare kan använda den för att få inloggningsuppgifter för känsliga system som banksajter för att begå ekonomiskt bedrägeri.
Detta påminner om de senaste sårbarheterna i Heartbleed och POODLE som också kan utnyttjas för att kompromissa med krypterad kommunikation.
Sårbarheten, med namnet en FREAK-attack, innebär kod från OpenSSL-projektet som Heartbleed gjorde förra året. Effekterna varierar dock beroende på de olika leverantörens webbläsare.
Apple Safari- och Android-webbläsare har bekräftats som sårbara. Chrome påverkas dock inte och inte heller Internet Explorer och Firefox.
Hur kunde detta hända?
På 1990-talet ville den amerikanska regeringen kontrollera exporten av vad de ansåg vara "vapenkvalitet" -kryptering. De skulle tillåta att den starka, för sin dag, 128-bitars kryptering används i USA, men Feds ville att amerikanska underrättelsetjänster och brottsbekämpning skulle ha "bakdörrar" när det gäller utländsk kommunikation. En svag 40-bitars krypteringssvit introducerades som "exportklass" för användning utanför USA som de amerikanska myndigheterna kunde bryta vid behov.
Medan de flesta webbläsare inte har stött de 40 bitars sviterna i flera år, finns de i så många som en tredjedel av SSL-bibliotek och webbläsare. Om sviten finns i en webbläsare kan en angripare montera det som kallas en "nedgraderingsattack", vilket tvingar användningen av den svaga chiffersviten. Använder en man-i-mitten attack, infogar angriparen en process mellan webbläsaren och servern för att fånga upp och dekryptera sina meddelanden.
Tyvärr är denna funktion fortfarande inbyggd i många webbservrar, så många som en tredjedel. En angripare kan tvinga de utsatta klienterna och servrarna att använda de svaga exportkrypteringarna i HTTPS-anslutningarna avlyssna dekryptera eller ändra meddelanden de avlyssnar med hjälp av en man-i-mitt-attack.
Vad ska du göra?
För att den här typen av attack ska lyckas måste både webbservern och offrets webbläsare vara sårbara. Om du använder en webbserver bör du inaktivera support för alla exportsviter och alla kända osäkra cifrar. Du bör sedan aktivera framtida sekretess. Mozilla har publicerat en guide och SSL Configuration Generator, som kommer att generera kända bra konfigurationer för vanliga servrar.
För webbanvändare kan du kontrollera om din webbläsare är sårbar på den här webbplatsen:
https://freakattack.com/clienttest.html
Apple och Google rusar snabbt åt sina webbläsarproblem, men det kan vara en bra tid att prova Comodos Chromium-baserade webbläsare Comodo Dragon eller Firefox baserat Comodo isdrake. Båda har oöverträffade sekretess- och säkerhetsfunktioner och är gratis att ladda ner.
PÅBÖRJA GRATIS FÖRSÖKSPERIOD FÅ DIN Omedelbara säkerhetskort GRATIS
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoAiStream. Web3 Data Intelligence. Kunskap förstärkt. Tillgång här.
- Minting the Future med Adryenn Ashley. Tillgång här.
- Köp och sälj aktier i PRE-IPO-företag med PREIPO®. Tillgång här.
- Källa: https://blog.comodo.com/comodo-news/freak-attack-warning-apple-google-devices-vulnerable/
- : har
- :är
- :inte
- 40
- 7
- a
- Alla
- tillåter
- tillåta
- också
- amerikan
- an
- och
- android
- vilken som helst
- Apple
- ÄR
- AS
- At
- attackera
- Myndigheter
- Banking
- baserat
- BE
- därför att
- varit
- mellan
- Bit
- Blogg
- båda
- Ha sönder
- webbläsare
- webbläsare
- byggt
- men
- by
- kom
- KAN
- ta
- krom
- krom
- chiffer
- klick
- klienter
- koda
- COM
- förbinda
- Gemensam
- Kommunikation
- Trygghet i vårdförloppet
- Comodo Nyheter
- kompromiss
- konfiguration
- BEKRÄFTAT
- Anslutningar
- anses
- kontroll
- kunde
- referenser
- kryptografi
- dag
- Avkryptera
- enheter
- DID
- olika
- do
- Nedgradera
- ladda ner
- möjliggöra
- krypterad
- kryptering
- tillämpning
- händelse
- utnyttjas
- explorer
- export
- extremt
- Leverans
- Funktioner
- FBI
- finansiella
- ekonomiskt bedrägeri
- firefox
- För
- kraft
- utländska
- Framåt
- bedrägeri
- Fri
- från
- generera
- Generatorn
- skaffa sig
- god
- Regeringen
- grad
- styra
- hända
- Har
- heartbleed
- Hög
- Men
- html
- http
- HTTPS
- identifierade
- if
- Inverkan
- in
- informationen
- osäkra
- Insert
- omedelbar
- Intelligens
- Internet
- Internet Security
- introducerade
- problem
- IT
- DESS
- jpg
- känd
- Efternamn
- Förra året
- Lag
- brottsbekämpning
- bibliotek
- logga in
- människa
- många
- max-bredd
- meddelanden
- Mitten
- kanske
- mest
- MONTERA
- Mozilla
- måste
- behövs
- nyheter
- få
- of
- on
- ONE
- openssl
- driva
- or
- utanför
- plato
- Platon Data Intelligence
- PlatonData
- presentera
- privatpolicy
- Integritet och säkerhet
- process
- projektet
- publicerade
- senaste
- avses
- påminner
- s
- Safari
- score-kort
- säkerhet
- sända
- känslig
- Servrar
- Tjänster
- skall
- webbplats
- Områden
- SSL
- Stater
- Fortfarande
- stark
- lyckas
- sådana
- svit
- stödja
- Som stöds
- System
- den där
- Smakämnen
- deras
- sedan
- de
- Tredje
- detta
- tid
- till
- prova
- Typ
- oss
- USAs regering
- United
- USA
- oöverträffad
- us
- användning
- Begagnade
- användare
- med hjälp av
- leverantör
- sårbarheter
- sårbarhet
- Sårbara
- ville
- varning
- var
- webb
- webbserver
- Vad
- Vad är
- när
- som
- kommer
- skulle
- år
- år
- Om er
- Din
- zephyrnet