CH azonosító
CH-13814Angol cím
Kaspersky Internet Security and Anti-Virus Bugs Let Remote Users Bypass Certificate Validation and Access SSL Data and Let Local Users Access an SSL Private KeyFelfedezés dátuma
2016.12.27.Súlyosság
KözepesÉrintett rendszerek
Anti-VirusInternet Security
Kaspesrsky Lab
Érintett verziók
Kaspersky Anti-Virus 2016, 2017
Kaspersky Internet Security 2016, 2017
Kaspersky Total Security 2016, 2017
Kaspersky Small Office Security 4, 5
Kaspersky Fraud Prevention for Endpoints 6.0
Kaspersky Safe Kids for Windows 1.1
Kaspersky Endpoint Security for Mac
Összefoglaló
Az Kaspersky Lab “Internet Security” és “Anti-Virus” szoftverek különböző verzióinak közepes kockázati besorolású sérülékenységei váltak ismertté, melyeket kihasználva a támadó kikerülheti a tanúsítvány ellenőrzést, illetve SSL titkos kulcsot (SSL private key) szerezhet meg. A sérülékenységeket kiküszöbölő megoldás már beszerezhető a gyártótól.
Leírás
Egy helyi felhasználó hozzáférhet a szoftver SSL kapcsolatok menedzselésére használt “SSL private key”-jéhez, ezt kihasználva támadást is indíthat a célpont böngészőben megnyitott oldalak ellen.
Amikor egy felhasználó érvénytelen SSL tanúsítvánnyal rendelkező weblapra navigál, és úgy dönt, hogy a szoftver biztonsági figyelmeztetése ellenére megbízik az oldalban, a “Continue” opciót választva tovább folytathatja böngészést. Ezt a figyelmeztetést a támadó a szoftver hibája révén kijátszhatja.
A rosszindulatú felhasználó közbeékelődéses támadást (man-in-the-middle) hajthat végre, egy “SSL certificate caching” hibát kihasználva hozzáférhet a célpont böngészője által megnyitott SSL kapcsolatokhoz.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Authentication Issues (Hitelesítés)Information disclosure (Információ/adat szivárgás)
man in the middle
Szükséges hozzáférés
Local/Shell (Helyi/shell)Remote/Network (Távoli/hálózat)
Hivatkozások
Gyártói referencia: support.kaspersky.com
Egyéb referencia: securitytracker.com
Egyéb referencia: securitytracker.com