Egy új SSL/TLS támadással el lehet téríteni a HTTPS munkamenetet

Két biztonsági kutató azt állítja, hogy kifejlesztettek egy új támadási módszert, amely segítségével fel tudják törni a HTTPS (Hypertext Transfer Protocol Secure) munkamenetben használt sütiket. Azok a kutatók, akik korábban létrehozták és bemutatták a BEAST (Browser Exploit Against SSL/TLS) nevű eszközt, amivel az SSL/TLS titkosítást fel tudták törni, most egy olyan új exploit-tal jelentkeztek, amely az összes telepített TLS verziót érinti. Az új támadási formának a CRIME nevet adták, amely a TLS 1.0 egy speciálisa képességének hibáján alapszik, bár azt nem fedték fel, hogy pontosan mi ez a feature. Állításuk szerint a TLS/SSL – ide értve a TLS 1.2-t is, amin a BEAST nem működött – sérülékeny.

http://thehackernews.com/2012/09/crime-new-ssltls-attack-for-hijacking.html

Címkék

SSL TLS hijacking