Deset let starou zranitelnost v SSL musí Microsoft opravit, objevil se totiž funkční exploit

28. 9. 2011

Sdílet

Microsoft potvrdil, že vydá bezpečnostní update, který opraví dlouho známou chybu v protokolu, jenž zabezpečuje webovou komunikaci.

Ačkoliv chyba v SSL (secure socket layer) 3.0 a TLS (transport layer security) 1.0, což jsou šifrovací protokoly pro zabezpečení webové komunikace, je známa okolo deseti let, praktický exploit se objevil až v minulých dnech.

Dvojice výzkumníků totiž demonstrovali řešení BEAST (Browser Exploit Against SSL/TLS), tedy hackovací nástroj, jenž je schopen útočit na internetové prohlížeče a dešifrovat příslušná cookies. To potenciálním útočníkům dává možnost přistupovat k šiforvaným webovým stránkám jako oprávnění uživatelé.

ICTS24

Například browser společnosti Opera Software je postaven na protokolu TLS 1.1, který však není zranitelný vůči zmíněným útokům, avšak jiné prohlížeče tak chráneny nejsou – například v případě produktů od Microsoftu je kvůli dosažení maximální kompatibility protokol TLS 1.1 defaultně vypnut, ač je v nových verzích Windows dostupný.

Microsoft podle svých slov pracuje na updatu Windows, avšak neupřesnil, zda tak učiní formou patche, nebo modifikace nastavení. Internet Explorer přitom spoléhá na nastavení SSl a TLS ve Windows – proto se opravy týkají saotného operačního systému.
Útokům BEAST jsou vystaveny všechny verze Windows – od 10 let starých Windows XP až po nejnovější Windows 7.