A FREAK lehet 2015 legdurvább sebezhetősége

Szerző: Kristóf Csaba | Utolsó módosítás: 2015.03.05.

Újabb súlyos biztonsági gyengeségre derült fény. A sebezhetőség rengeteg számítógépet, mobil eszközt és beágyazott rendszert tehet védtelenné a lehallgatásokkal és az egyéb internetes támadásokkal szemben.

Amikor a titkosított kommunikációs kapcsolatokban kulcsszerepet betöltő SSL/TLS protokollok, illetve az azokat támogató alkalmazások kapcsán biztonsági résre derül fény, akkor az általában komoly aggodalmat vált ki a szakmában. Ez persze nem csoda, hiszen az egy évvel ezelőtt feltárt - OpenSSL-ben kimutatott - Heartbleed sebezhetőség, valamint a szintén tavaly nagy hírverést kapott POODLE sérülékenység ékes bizonyítékát adta annak, hogy miként válhatnak egy csapásra weboldalak, eszközök millió teljesen kiszolgáltatottá a külső támadásokkal szemben.

A legújabb SSL/TLS sebezhetőség - hasonlóan az előbbiekben említett biztonsági résekhez - nem új keletű problémára vezethető vissza. Oly annyira nem, hogy a FREAK (Factoring RSA Export Keys) névre keresztelt sérülékenység története tulajdonképpen az 1990-es években kezdődött, amikor az amerikai export korlátozások miatt a fejlesztőknek gyengébb titkosítási eljárásokat is be kellett építeniük az alkalmazásaikba, legalábbis, ha azt akarták, hogy a szoftvereik bejárják a világot. Ekkor az SSL-be bekerült egy olyan üzemmód, amelynek révén 512 bites - akkor még viszonylag erősnek számító, de ma már kifejezetten gyenge - RSA kulcsokkal lehetett megvalósítani a kommunikáció védelmét. A FREAK erre az úgynevezett "export módra" épül, amely főként kompatibilitási okok miatt az elmúlt évtizedben sem került ki az SSL-implementációk többségéből.

Az újonnan kidolgozott támadási lehetőségről beszámoló kutatók tulajdonképpen arra jöttek rá, hogy egyes eszközök, szoftverek rávehetők arra, hogy ezt a gyenge titkosítási eljárást használják még akkor is, ha alapértelmezésként amúgy jóval biztonságosabb módon teremtenének kapcsolatot egymással. Ennél fogva az elkövetőknek jóval könnyebb a dolguk, amikor titkosított adatforgalmat akarnak lehallgatni vagy manipulálni.

Olvassa tovább
Prémium előfizetéssel!

Tovább olvasom

Iratkozzon fel hírlevelünkre!

További hírek

Tovább fokozza a Teams biztonságát a Microsoft

Újabb fegyverrel készül a WhatsApp a csalók ellen

Ilyen, amikor hackerek utaznak egy okosbuszon

Százezrek adatait vesztette el a Columbia Egyetem

Riasztások

3

Apache Tomcat sérülékenység

Az Apache Tomcat kapcsán egy biztonsági résre derült fény.
4

IBM QRadar SIEM frissítés

Az IBM több mint 50 biztonsági hibajavítást adott ki a QRadar SIEM-hez.
3

Intel PROSet/Wireless WiFi hiba

Az Intel a PROSet/Wireless WiFi szoftvere kapcsán egy biztonsági hibáról számolt be.
4

ImageMagick sérülékenységek

Az ImageMagick frissítésével négy sebezhetőség szüntethető meg.
3

Docker Desktop sérülékenység

A Docker Desktop kapcsán egy biztonsági hiba javítása vált szükségessé.
4

Autodesk AutoCAD sérülékenységek

Három biztonsági hiba sújtja az Autodesk AutoCAD alkalmazásait.
4

Apple ImageIO frissítés

Az Apple több operációs rendszerét is érintő hibát javított.
3

Intel Graphics Software hibák

Az Intel Graphics Software kapcsán négy biztonsági résre derült fény.
4

Google ChromeOS frissítés

A Google ChromeOS 11 biztonsági hiba miatt kapott frissítést.
4

Firefox biztonsági hibák

A Mozilla a Firefox 142 kiadásával számos biztonsági hibát javított.

	G Data Total Security 2 eszköz 2 év Új licenc
	33000 Ft

	ESET NOD32 Antivirus 2 eszköz 2 év Új licenc
	31990 Ft

	ESET Home Security Premium 1 év 5 eszköz Diákkedvezmény
	23093 Ft

Partnerhírek

Terjed a hamis hibaüzenetekkel támadó ClickFix kártevő

Az ESET közzétette legfrissebb kiberfenyegetettségi jelentését, amely a 2024. december és 2025. május közötti időszakban tapasztalt kiberkockázatokat mutatja be

Hogyan védhetjük meg a gyerekeket a kibertérben?

A nyári szünet idején a gyerekek több időt töltenek otthon, sokszor felügyelet nélkül – ez pedig nemcsak a fizikai, hanem az online biztonság szempontjából is kihívásokat jelent.

További partnerhírek >>