A FREAK lehet 2015 legdurvább sebezhetősége

Szerző: Kristóf Csaba | Utolsó módosítás: 2015.03.05.
Újabb súlyos biztonsági gyengeségre derült fény. A sebezhetőség rengeteg számítógépet, mobil eszközt és beágyazott rendszert tehet védtelenné a lehallgatásokkal és az egyéb internetes támadásokkal szemben.
 

Amikor a titkosított kommunikációs kapcsolatokban kulcsszerepet betöltő SSL/TLS protokollok, illetve az azokat támogató alkalmazások kapcsán biztonsági résre derül fény, akkor az általában komoly aggodalmat vált ki a szakmában. Ez persze nem csoda, hiszen az egy évvel ezelőtt feltárt - OpenSSL-ben kimutatott - Heartbleed sebezhetőség, valamint a szintén tavaly nagy hírverést kapott POODLE sérülékenység ékes bizonyítékát adta annak, hogy miként válhatnak egy csapásra weboldalak, eszközök millió teljesen kiszolgáltatottá a külső támadásokkal szemben.
 
A legújabb SSL/TLS sebezhetőség - hasonlóan az előbbiekben említett biztonsági résekhez - nem új keletű problémára vezethető vissza. Oly annyira nem, hogy a FREAK (Factoring RSA Export Keys) névre keresztelt sérülékenység története tulajdonképpen az 1990-es években kezdődött, amikor az amerikai export korlátozások miatt a fejlesztőknek gyengébb titkosítási eljárásokat is be kellett építeniük az alkalmazásaikba, legalábbis, ha azt akarták, hogy a szoftvereik bejárják a világot. Ekkor az SSL-be bekerült egy olyan üzemmód, amelynek révén 512 bites - akkor még viszonylag erősnek számító, de ma már kifejezetten gyenge - RSA kulcsokkal lehetett megvalósítani a kommunikáció védelmét. A FREAK erre az úgynevezett "export módra" épül, amely főként kompatibilitási okok miatt az elmúlt évtizedben sem került ki az SSL-implementációk többségéből.
 
Az újonnan kidolgozott támadási lehetőségről beszámoló kutatók tulajdonképpen arra jöttek rá, hogy egyes eszközök, szoftverek rávehetők arra, hogy ezt a gyenge titkosítási eljárást használják még akkor is, ha alapértelmezésként amúgy jóval biztonságosabb módon teremtenének kapcsolatot egymással. Ennél fogva az elkövetőknek jóval könnyebb a dolguk, amikor titkosított adatforgalmat akarnak lehallgatni vagy manipulálni.
 

 
 
Olvassa tovább
Prémium előfizetéssel!
  Tovább olvasom   
További hírek
 
Riasztások
  1. 3
    ImageMagick sérülékenység

    Az ImageMagick egy közepes veszélyességű hibát tartalmaz.

  2. 3
    Xen sérülékenységek

    A Xen két biztonsági hibát tartalmaz.

  3. 3
    KeePassXC sebezhetőség

    A KeePassXC egy sérülékenység miatt kapott frissítést.

  4. 3
    Next.js biztonsági frissítések

    A Next.js-hez öt biztonsági javítás vált elérhetővé.

  5. 3
    Apple biztonsági frissítés

    Az Apple biztonsági frissítést adott ki egyes operációs rendszereihez.

  6. 4
    GIMP sebezhetőségek

    A GIMP két veszélyes biztonsági réstől vált meg.

  7. 3
    PyTorch biztonság hibák

    A PyTorch kapcsán két biztonsági résre derült fény.

  8. 4
    Edge biztonsági frissítések

    Több mint 30 biztonsági javítást kapott az Edge webböngésző.

  9. 3
    Red Hat OpenShift frissítések

    A Red Hat OpenShift Container Platform két hibajavítással bővült.

  10. 3
    curl sérülékenységek

    A curl kapcsán négy biztonsági hiba látott napvilágot.

 

ESET Home Security Essential 2 eszköz 3 év Hosszabbítás
40990 Ft
G Data Internet Security 2 év 5 eszköz Hosszabbítás
32400 Ft
ESET NOD32 Antivirus 3 eszköz 3 év Hosszabbítás
46990 Ft
Partnerhírek
Amikor az üzleti kapcsolatépítés kockázattá válik

A szakmai kapcsolatépítés egyik legfontosabb online terepe, a LinkedIn ma már több mint egymilliárd felhasználót köt össze világszerte.

Váratlan csomagot kaptál? Légy óvatos!

Az elmúlt hetekben egyre többen számolnak be arról, hogy olyan csomagot kaptak, melyet nem is rendeltek meg.

További partnerhírek >>
hirdetés
Kiemelt hírek
Közösség

OLDALUNK

RSS
Impresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek
Hozzászólási szabályzat

ROVATOK

Adatbiztonság
Családbiztonsag
Mobilbiztonság
Sebezhetőségek
Vírusvédelem

PARTNEREK

Androgeek
Hírposta
Hírhányó
Hírstart
Copyright by Isidor - Minden jog fenntartva!