SSL Delik Çatlakları Güvenli Web Trafiğini Aç

Kritik yeni SSL veya çevrimiçi bankacılık, alışveriş ve diğer herhangi bir https bağlantısı için Web trafiğini korumak için kullanılan Güvenli Yuva Katmanı, bir saldırganın teorik olarak güvenli bir bağlantıya girmesine ve kötü amaçlı komutlar eklemesine izin verir.

Kusurun avantajından yararlanmayı gerektirir. Bir Web tarayıcısı ve bir Web veya başka bir sunucu gibi bir istemci arasındaki belirli ağ trafiğine erişim. Bu, telefon tabanlı iki faktörlü kimlik doğrulama çözümleri sunan PhoneFactor'daki bir güvenlik araştırmacısı olan Marsh Ray'a göre, çoğu ev kullanıcısı muhtemelen bu potansiyel insan-orta saldırılarından biri tarafından hedeflenmeyeceği anlamına geliyor.

Ancak, işletmeler ve organizasyonlar muhtemelen hedefler. Her bir SSL korumalı trafik, bir https sitesi, güvenli veritabanı iletişimi veya güvenli bir e-posta bağlantısı için olabilir. Sorun SSL şifrelenmiş verilerin şifresini çözme ve şifrelemeye izin vermez, bunun yerine iletişim akışına herhangi bir komut girilmesine izin verir.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Bir saldırganın kontrol ettiği siteye veri göndermek için kurbanın Web tarayıcısının yapılabileceği https trafiği için yeterince kötü. Ve bir veritabanı sunucusu için yıkıcı olduğunu kanıtlayabilir.

Ray, iç güvenlik testlerini gerçekleştirirken PhoneFactor'ın Ağustos ayında kusur bulduğunu ve etkilenen satıcılar ve yazılım grupları bir çözüm üzerinde çalışırken sessiz kaldığını söyledi. Fakat bu arada bağımsız bir araştırmacı da kusuru buldu ve haber kırıldı.

Yamalar devam ediyor ama henüz mevcut değil. Şu anda önerilen düzeltme, Web tarayıcıları, e-posta programları ve SSL kütüphaneleri kullanan diğer tüm programlar dahil olmak üzere tüm istemci ve sunucu uygulamalarının yama yüklenmesini gerektirecektir. Ray.

PhoneFactor'ın sorunu ile ilgili olarak şirketin sitesinde ve Chris Paget adlı güvenlik araştırmacısı konuyla ilgili düşüncelerini yayınladı (Ray ve Paget arasında bir arkasını görmek için yorumları gözden geçirin). IDG haber servisinin de konuyla ilgili iyi bir hikayesi var.