[情報] Web加密TLS與SSL有零時漏洞

看板AntiVirus (防毒)作者TypeZero (TypeZero)時間16年前 (2009/11/08 23:20)推噓2(2推 0噓 1→)

留言3則, 3人參與討論串1/1

*本文轉自：http://www.zdnet.com.tw/news/comm/0,2000085675,20142604,00.htm TLS與SSL協定出現零時漏洞（zero-day flaw），這兩個協定常用於網頁加密。漏洞詳情已經公佈。資安研究員Marsh Ray 與 Steve Dispensa週三公佈了TLS (Transport Layer Security，傳輸層安全)漏洞。TLS與其前身SSL (Secure Sockets Layer，安全套接層)常被網路商店與銀行用來強化網路交易的安全。資安人員Ray週四在一篇部落格表示，他最初是在八月就發現漏洞，並在九月初告訴同事 Dispensa。 TLS認證流程中的漏洞可讓外人綁架用戶的瀏覽器，並成功冒用該用戶的身份，該資安人員在技術文件中指出。 TLS的問題主要出在「認證空檔」（authentication gap）上，在加密認證流程中，由於伺服器與用戶端之間的認證會出現不持續的狀況，使得攻擊者可趁機綁架資料串。另外，研究員也表示，這個漏洞也讓外人得以以中間人（man-in-the-middle）攻擊的手法來入侵Https伺服器。另一位資安研究員Chris Paget 表示，由於這也會影響SSL，因此該漏洞會造成一大問題。「這是通訊協定層次的漏洞，必須修改SSL與TLS運作的模式才能修正問題。」 Ray 與 Dispensa 已經將問題提報給產業組織ICASI，該組織由思科、IBM、英特爾、 Juniper、微軟與Nokia組成。他們也將此事通知IETF組織，以及部分開放原始碼SSL部署計畫。 9月29日，好幾個組織已經開會決定成立一個專案計畫稱為「Project Mogul」，負責處理修復方案。一開始他們會建立一個協定延伸當作初步解套的方式。Ray表示此方案應該近期就會公佈。由於週三已經有另一位研究員公佈了微軟IIS裡面有關「中間人TLS重新協商漏洞」，該漏洞跟Ray所發現的是一樣的，且已經被研究員HD Moore發佈到Twitter上。 Ray與Dispensa判斷該漏洞已經流到公開領域，因此決定完整揭露他們的發現。 -- 請大家一起拒絕使用危險的Internet Explorer 6！一起來使用更安全的瀏覽器 Google Chrome 3.0、FireFox 3.5、Opera、 Safari PS. PCMan、KKMan、...很多都是用Internet Explorer的核心，一樣危險！請及早脫離Internet Explorer 6 以免造成您的電腦資安上問題！ By TypeZero 防毒板板主 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.46.166.150