A FREAK lehet 2015 legdurvább sebezhetősége

Szerző: Kristóf Csaba | Utolsó módosítás: 2015.03.05.

Újabb súlyos biztonsági gyengeségre derült fény. A sebezhetőség rengeteg számítógépet, mobil eszközt és beágyazott rendszert tehet védtelenné a lehallgatásokkal és az egyéb internetes támadásokkal szemben.

Amikor a titkosított kommunikációs kapcsolatokban kulcsszerepet betöltő SSL/TLS protokollok, illetve az azokat támogató alkalmazások kapcsán biztonsági résre derül fény, akkor az általában komoly aggodalmat vált ki a szakmában. Ez persze nem csoda, hiszen az egy évvel ezelőtt feltárt - OpenSSL-ben kimutatott - Heartbleed sebezhetőség, valamint a szintén tavaly nagy hírverést kapott POODLE sérülékenység ékes bizonyítékát adta annak, hogy miként válhatnak egy csapásra weboldalak, eszközök millió teljesen kiszolgáltatottá a külső támadásokkal szemben.

A legújabb SSL/TLS sebezhetőség - hasonlóan az előbbiekben említett biztonsági résekhez - nem új keletű problémára vezethető vissza. Oly annyira nem, hogy a FREAK (Factoring RSA Export Keys) névre keresztelt sérülékenység története tulajdonképpen az 1990-es években kezdődött, amikor az amerikai export korlátozások miatt a fejlesztőknek gyengébb titkosítási eljárásokat is be kellett építeniük az alkalmazásaikba, legalábbis, ha azt akarták, hogy a szoftvereik bejárják a világot. Ekkor az SSL-be bekerült egy olyan üzemmód, amelynek révén 512 bites - akkor még viszonylag erősnek számító, de ma már kifejezetten gyenge - RSA kulcsokkal lehetett megvalósítani a kommunikáció védelmét. A FREAK erre az úgynevezett "export módra" épül, amely főként kompatibilitási okok miatt az elmúlt évtizedben sem került ki az SSL-implementációk többségéből.

Az újonnan kidolgozott támadási lehetőségről beszámoló kutatók tulajdonképpen arra jöttek rá, hogy egyes eszközök, szoftverek rávehetők arra, hogy ezt a gyenge titkosítási eljárást használják még akkor is, ha alapértelmezésként amúgy jóval biztonságosabb módon teremtenének kapcsolatot egymással. Ennél fogva az elkövetőknek jóval könnyebb a dolguk, amikor titkosított adatforgalmat akarnak lehallgatni vagy manipulálni.

Olvassa tovább
Prémium előfizetéssel!

Tovább olvasom

Iratkozzon fel hírlevelünkre!

További hírek

Nem sikerül megválni a sok sebből vérző FTP-től

Nem szállnak le a csalók a Teamsről

Már edz a Gemini a hirdetési csalók elleni küzdelemre

Kamu iPhone rendelésekkel rémisztgetnek a csalók

Riasztások

4

Google Chrome frissítések

127 biztonsági hibát javított a Google a Chrome webböngésző kapcsán.
3

WhatsApp for Windows Desktop hiba

A WhatsApp for Windows Desktop egy biztonsági hibát tartalmaz.
3

XWiki biztonsági frissítések

Az XWiki számos biztonsági hibajavítást kapott.
3

Vim sérülékenység

A Vim esetében egy újabb biztonsági hibára derült fény.
3

Samsung Exynos biztonsági hiba

A Samsung egy Exynos-t érintő biztonsági hibáról számolt be.
3

Zabbix sérülékenységek

A Zabbix három biztonsági hibajavítással gyarapodott.
4

Thunderbird biztonsági hibák

A Mozilla Thunderbird fontos biztonsági frissítést kapott.
4

OpenClaw sérülékenységek

Több tucat biztonsági hibát javítottak az OpenClaw fejlesztői.
3

SonicOS sebezhetőségek

A SonicOS legújabb kiadása három biztonsági hibát szüntet meg.
4

Linux kernel hiba

A Linux kernel azonnali frissítésre szorul.

	ESET Home Security Premium 1 év 5 eszköz Pedagógus kedvezmény hosszabbítás
	23325 Ft

	G Data Internet Security 2 év 3 eszköz Hosszabbítás
	24000 Ft

	Kaspersky Premium 1 év 3 eszköz Új licenc
	20990 Ft

Partnerhírek

Apple Pay-csalások: hat gyakori módszer, amire érdemes figyelni

Az Apple Pay az egyik legnépszerűbb mobilfizetési szolgáltatás világszerte: becslések szerint több százmillió felhasználóval és évente több ezermilliárd dollárnyi tranzakcióval.

Amikor az üzleti kapcsolatépítés kockázattá válik

A szakmai kapcsolatépítés egyik legfontosabb online terepe, a LinkedIn ma már több mint egymilliárd felhasználót köt össze világszerte.

További partnerhírek >>