A FREAK lehet 2015 legdurvább sebezhetősége

Szerző: Kristóf Csaba | Utolsó módosítás: 2015.03.05.

Újabb súlyos biztonsági gyengeségre derült fény. A sebezhetőség rengeteg számítógépet, mobil eszközt és beágyazott rendszert tehet védtelenné a lehallgatásokkal és az egyéb internetes támadásokkal szemben.

Amikor a titkosított kommunikációs kapcsolatokban kulcsszerepet betöltő SSL/TLS protokollok, illetve az azokat támogató alkalmazások kapcsán biztonsági résre derül fény, akkor az általában komoly aggodalmat vált ki a szakmában. Ez persze nem csoda, hiszen az egy évvel ezelőtt feltárt - OpenSSL-ben kimutatott - Heartbleed sebezhetőség, valamint a szintén tavaly nagy hírverést kapott POODLE sérülékenység ékes bizonyítékát adta annak, hogy miként válhatnak egy csapásra weboldalak, eszközök millió teljesen kiszolgáltatottá a külső támadásokkal szemben.

A legújabb SSL/TLS sebezhetőség - hasonlóan az előbbiekben említett biztonsági résekhez - nem új keletű problémára vezethető vissza. Oly annyira nem, hogy a FREAK (Factoring RSA Export Keys) névre keresztelt sérülékenység története tulajdonképpen az 1990-es években kezdődött, amikor az amerikai export korlátozások miatt a fejlesztőknek gyengébb titkosítási eljárásokat is be kellett építeniük az alkalmazásaikba, legalábbis, ha azt akarták, hogy a szoftvereik bejárják a világot. Ekkor az SSL-be bekerült egy olyan üzemmód, amelynek révén 512 bites - akkor még viszonylag erősnek számító, de ma már kifejezetten gyenge - RSA kulcsokkal lehetett megvalósítani a kommunikáció védelmét. A FREAK erre az úgynevezett "export módra" épül, amely főként kompatibilitási okok miatt az elmúlt évtizedben sem került ki az SSL-implementációk többségéből.

Az újonnan kidolgozott támadási lehetőségről beszámoló kutatók tulajdonképpen arra jöttek rá, hogy egyes eszközök, szoftverek rávehetők arra, hogy ezt a gyenge titkosítási eljárást használják még akkor is, ha alapértelmezésként amúgy jóval biztonságosabb módon teremtenének kapcsolatot egymással. Ennél fogva az elkövetőknek jóval könnyebb a dolguk, amikor titkosított adatforgalmat akarnak lehallgatni vagy manipulálni.

Olvassa tovább
Prémium előfizetéssel!

Tovább olvasom

Iratkozzon fel hírlevelünkre!

További hírek

Windows 11 helyreállítás felhőből

Komoly incidensek lehetnek, ha nem figyel a HR

Ilyen a kiberbűnözők saját ChatGPT-je

Át kell rajzolni a fenyegetettségi térképet

Riasztások

4

Firefox biztonsági frissítés

A Mozilla kiadta a Firefox legújabb verzióját 13 biztonsági hibajavítás kíséretében.
4

Thunderbird sebezhetőségek

Elérhetővé vált a Mozilla Thunderbird legújabb kiadása.
4

Chrome biztonsági hibák

A Google egy súlyos és két közepes veszélyességű hibát szüntetett meg a Chrome webböngészőben.
4

Adobe Reader/Acrobat frissítések

Az Adobe négy biztonsági hibát javított a PDF-kezelő alkalmazásaiban.
4

Adobe ColdFusion sebezhetőségek

Az Adobe egy tucat biztonsági hibajavítást készített a ColdFusion alkalmazáshoz.
4

Adobe Creative Cloud Desktop hiba

Az Adobe Creative Cloud Desktop alkalmazás egy sérülékenységet tartalmaz.
4

SAP sérülékenységek

Az SAP tizennégy biztonsági hibát szüntetett meg a decemberi frissítéseivel.
4

Windows biztonsági javítások

A Microsoft letölthetővé tette a Windows novemberi biztonsági hibajavításait.
4

Office sebezhetőségek

A Microsoft Office összesen tizenhárom biztonsági hibajavítást kapott.
4

SharePoint Server javítás

A SharePoint Serverhez egy biztonsági hibajavítás vált letölthetővé.

	ESET Home Security Premium 1 év 4 eszköz Új licenc
	29990 Ft

	ESET Home Security Premium 1 eszköz 1 év Diákkedvezmény hosszabbítás
	11700 Ft

	ESET NOD32 Antivirus 2 év 3 eszköz Új licenc
	41990 Ft

Partnerhírek

Ünnepi akciók vagy csapdák

Az ünnepi időszakban még inkább megnő az online vásárlások száma, ezzel együtt a csalók aktivitása is.

Túlélni a zsarolóvírust – hogyan lehet a kiberreziliencia versenyelőny?

A zsarolóvírus-támadások nem csupán technikai fennakadásokat vagy átmeneti anyagi veszteségeket okoznak – hanem akár egy teljes vállalkozás bukását is jelenthetik.

További partnerhírek >>