Microsoft biztonsági javaslat az SSL / TLS hibához

A Microsoft tegnap hozta nyilvánosságra 2588513 számú biztonsági javaslatát, amely a Secure Socket Layer (SSL) 3.0-ban és a Transport Layer Security (TLS) 1.0-ban található sérülékenységgel kapcsolatban tartalmaz információkat. A már korábban is ismert sérülékenységre két neves kutató, Thai Duong és Juliano Rizzo dolgozott ki egy exploit eszközt, amely a BEAST (Browser Expoit Against SSL / TLS) nevet kapta. A kutatók a múlthéten mutatták be az eszközt, melynek segítségével a támadó egy aktív HTTPS munkameneten keresztül képes lehallgatni a böngésző és a szerver közti adatkommunikációt és a munkamenethez tartozó sütikből visszafejteni az érintett felhasználó bejelentkezési nevét és jelszavát is. A demonstráció során a kutatóknak mindössze két percbe telt egy PayPal hozzáféréshez tartozó felhasználói név és jelszó megszerzése.

Bár a két szakember a teszteken sikeresen bemutatta, hogy a támadással lehetséges az SSL forgalom dekódolása és a felhasználói adatok eltulajdonítása, azonban a Microsoft hivatalos álláspontja szerint, annak lehetősége, hogy valakinek a jelszavait ilyen módszerrel szerezzék meg, sikeres támadáshoz szükséges körülmények miatt, valós környezetben igen csekély.

http://redmondmag.com/articles/2011/09/27/security-advisory-for-ssl-flaw.aspx
http://blogs.technet.com/b/srd/archive/2011/09/26/is-ssl-broken-more-about-security-advisory-2588513.aspx


Legfrissebb sérülékenységek
CVE-2024-29944 – Mozilla Firefox ESR sérülékenysége
CVE-2024-29943 – Mozilla Firefox sérülékenysége
CVE-2024-28916 – Xbox Gaming Services sérülékenysége
CVE-2023-46808 – Ivanti Neurons for ITSM sérülékenysége
CVE-2024-2169 – UDP sérülékenysége
CVE-2023-41724 – Ivanti Standalone Sentry sérülékenysége
CVE-2024-27957 – Pie Register sérülékenysége
CVE-2024-25153 – Fortra FileCatalyst sérülékenysége
CVE-2024-21407 – Windows Hyper-V sérülékenysége
CVE-2024-21390 – Microsoft Authenticator sérülékenysége
Tovább a sérülékenységekhez »