Deset let starou zranitelnost v SSL musí Microsoft opravit, objevil se totiž funkční exploit

Microsoft potvrdil, že vydá bezpečnostní update, který opraví dlouho známou chybu v protokolu, jenž zabezpečuje webovou komunikaci.


Ačkoliv chyba v SSL (secure socket layer) 3.0 a TLS (transport layer security) 1.0, což jsou šifrovací protokoly pro zabezpečení webové komunikace, je známa okolo deseti let, praktický exploit se objevil až v minulých dnech.

Dvojice výzkumníků totiž demonstrovali řešení BEAST (Browser Exploit Against SSL/TLS), tedy hackovací nástroj, jenž je schopen útočit na internetové prohlížeče a dešifrovat příslušná cookies. To potenciálním útočníkům dává možnost přistupovat k šiforvaným webovým stránkám jako oprávnění uživatelé.

Například browser společnosti Opera Software je postaven na protokolu TLS 1.1, který však není zranitelný vůči zmíněným útokům, avšak jiné prohlížeče tak chráneny nejsou – například v případě produktů od Microsoftu je kvůli dosažení maximální kompatibility protokol TLS 1.1 defaultně vypnut, ač je v nových verzích Windows dostupný.

Microsoft podle svých slov pracuje na updatu Windows, avšak neupřesnil, zda tak učiní formou patche, nebo modifikace nastavení. Internet Explorer přitom spoléhá na nastavení SSl a TLS ve Windows – proto se opravy týkají saotného operačního systému.
Útokům BEAST jsou vystaveny všechny verze Windows – od 10 let starých Windows XP až po nejnovější Windows 7.











Komentáře