A FREAK lehet 2015 legdurvább sebezhetősége

Szerző: Kristóf Csaba | Utolsó módosítás: 2015.03.05.

Újabb súlyos biztonsági gyengeségre derült fény. A sebezhetőség rengeteg számítógépet, mobil eszközt és beágyazott rendszert tehet védtelenné a lehallgatásokkal és az egyéb internetes támadásokkal szemben.

Amikor a titkosított kommunikációs kapcsolatokban kulcsszerepet betöltő SSL/TLS protokollok, illetve az azokat támogató alkalmazások kapcsán biztonsági résre derül fény, akkor az általában komoly aggodalmat vált ki a szakmában. Ez persze nem csoda, hiszen az egy évvel ezelőtt feltárt - OpenSSL-ben kimutatott - Heartbleed sebezhetőség, valamint a szintén tavaly nagy hírverést kapott POODLE sérülékenység ékes bizonyítékát adta annak, hogy miként válhatnak egy csapásra weboldalak, eszközök millió teljesen kiszolgáltatottá a külső támadásokkal szemben.

A legújabb SSL/TLS sebezhetőség - hasonlóan az előbbiekben említett biztonsági résekhez - nem új keletű problémára vezethető vissza. Oly annyira nem, hogy a FREAK (Factoring RSA Export Keys) névre keresztelt sérülékenység története tulajdonképpen az 1990-es években kezdődött, amikor az amerikai export korlátozások miatt a fejlesztőknek gyengébb titkosítási eljárásokat is be kellett építeniük az alkalmazásaikba, legalábbis, ha azt akarták, hogy a szoftvereik bejárják a világot. Ekkor az SSL-be bekerült egy olyan üzemmód, amelynek révén 512 bites - akkor még viszonylag erősnek számító, de ma már kifejezetten gyenge - RSA kulcsokkal lehetett megvalósítani a kommunikáció védelmét. A FREAK erre az úgynevezett "export módra" épül, amely főként kompatibilitási okok miatt az elmúlt évtizedben sem került ki az SSL-implementációk többségéből.

Az újonnan kidolgozott támadási lehetőségről beszámoló kutatók tulajdonképpen arra jöttek rá, hogy egyes eszközök, szoftverek rávehetők arra, hogy ezt a gyenge titkosítási eljárást használják még akkor is, ha alapértelmezésként amúgy jóval biztonságosabb módon teremtenének kapcsolatot egymással. Ennél fogva az elkövetőknek jóval könnyebb a dolguk, amikor titkosított adatforgalmat akarnak lehallgatni vagy manipulálni.

Olvassa tovább
Prémium előfizetéssel!

Tovább olvasom

Iratkozzon fel hírlevelünkre!

További hírek

NIS2/DORA: nemcsak kényszer, hanem lehetőség is

Nagy fejlődés előtt áll az adathalászok kedvence

Ezért kopasztják meg a csalók a magyarokat

A mesterséges intelligenciát is bevetik a romantikázó csalók

Riasztások

3

Canon nyomtató driver hibák

A Canon egyes nyomtatódriverei kapcsán három biztonsági hibára derült fény.
4

Draytek frissítések

A Draytek két biztonsági hibáról számolt be egyes routerei kapcsán.
3

Zulip Server sérülékenység

A Zulip Server két biztonsági hibát tartalmaz.
3

Apple iOS/iPadOS sebezhetőségek

Az Apple 22 biztonsági rést foltozott be az iOS/iPadOS operációs rendszerein.
4

macOS biztonsági rések

Az Apple 41 javítással tette biztonságosabbá a macOS-t.
3

Splunk Enterprise sérülékenységek

A Splunk Enterprise-hoz öt biztonsági javítás érkezett.
3

GitLab hibajavítások

Hét patch jelent meg a GitLab alkalmazásokhoz.
3

Google ChromeOS biztonsági rés

A Google ChromeOS-hez egy biztonsági hibajavítás vált letölthetővé.
4

Edge biztonsági hiba

A Microsoft az Edge webböngészőhöz egy fontos biztonsági hibajavítást tett elérhetővé.
3

Moodle biztonsági rések

Letölthetők a Moodle legújabb kiadásai, amelyek biztonsági hibákat is orvosolnak.

	ESET Home Security Essential 1 év 2 eszköz Pedagógus kedvezmény
	12593 Ft

	Bitdefender Antivirus Plus 1 év 5 eszköz
	8490 Ft

	ESET Home Security Essential 2 év 3 eszköz Diákkedvezmény hosszabbítás
	23793 Ft

Partnerhírek

Pályázati Felhívás - „Az év információbiztonsági tartalom előállítója 2025”

A 2004-ben alakult Hétpecsét Információbiztonsági Egyesület céljai között szerepel az információvédelem kultúrájának és ismereteinek magyarországi terjesztése. Ezzel a célunkkal összhangban 2025-ben ismét meghirdetjük a „Az év információbiztonsági tartalom előállítója - 2025” pályázatot.