Microsoft biztonsági javaslat az SSL / TLS hibához

A Microsoft tegnap hozta nyilvánosságra 2588513 számú biztonsági javaslatát, amely a Secure Socket Layer (SSL) 3.0-ban és a Transport Layer Security (TLS) 1.0-ban található sérülékenységgel kapcsolatban tartalmaz információkat. A már korábban is ismert sérülékenységre két neves kutató, Thai Duong és Juliano Rizzo dolgozott ki egy exploit eszközt, amely a BEAST (Browser Expoit Against SSL / TLS) nevet kapta. A kutatók a múlthéten mutatták be az eszközt, melynek segítségével a támadó egy aktív HTTPS munkameneten keresztül képes lehallgatni a böngésző és a szerver közti adatkommunikációt és a munkamenethez tartozó sütikből visszafejteni az érintett felhasználó bejelentkezési nevét és jelszavát is. A demonstráció során a kutatóknak mindössze két percbe telt egy PayPal hozzáféréshez tartozó felhasználói név és jelszó megszerzése.

Bár a két szakember a teszteken sikeresen bemutatta, hogy a támadással lehetséges az SSL forgalom dekódolása és a felhasználói adatok eltulajdonítása, azonban a Microsoft hivatalos álláspontja szerint, annak lehetősége, hogy valakinek a jelszavait ilyen módszerrel szerezzék meg, sikeres támadáshoz szükséges körülmények miatt, valós környezetben igen csekély.

http://redmondmag.com/articles/2011/09/27/security-advisory-for-ssl-flaw.aspx
http://blogs.technet.com/b/srd/archive/2011/09/26/is-ssl-broken-more-about-security-advisory-2588513.aspx


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-9968 – ASUS Armoury Crate sérülékenysége
CVE-2025-9337 – ASUS Armoury Crate sérülékenysége
CVE-2025-9336 – ASUS Armoury Crate sérülékenysége
CVE-2025-47827 – IGEL OS Use of a Key Past its Expiration Date sérülékenysége
CVE-2025-24990 – Microsoft Windows Untrusted Pointer Dereference sérülékenysége
CVE-2025-59230 – Microsoft Windows Improper Access Control sérülékenysége
CVE-2025-6264 – Rapid7 Velociraptor Incorrect Default Permissions sérülékenysége
CVE-2016-7836 – SKYSEA Client View Improper Authentication sérülékenysége
CVE-2025-7330 – Rockwell NAT CSRF sérülékenysége
Tovább a sérülékenységekhez »