r   e   k   l   a   m   a
r   e   k   l   a   m   a

Microsoft załata lukę w SSL/TLS

Strona główna Aktualności

Firma Microsoft opublikowała poradnik bezpieczeństwa na temat luki w protokole SSL/TLS.

O problemie pisaliśmy w ubiegłym tygodniu. Dziura w protokole TLS była przez prawie 10 lat rozważana tylko jako problem teoretyczny, powstało jednak narzędzie BEAST (Browser Exploit Against SSL/TLS) udowadniające, że możliwe jest przeprowadzenie ataku w praktyce i rozkodowanie szyfrowanych danych. W swoim poradniku Microsoft jako podatne oprogramowanie podaje Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows Server 2008 R2 i Windows 7. Zapowiada też wydanie poprawki, nie określając jednak, czy pojawi się ona w ramach standardowego comiesięcznego cyklu, czy też poza nim.

Microsoft zaznacza jednak, że choć przeprowadzenie ataku jest możliwe, to musi być spełnionych wiele warunków. Ogólnie więc zagrożenie nie jest duże. Jednym z warunków udanego ataku jest przechwycenie sesji TLS na zasadzie man-in-the-middle, samo podsłuchiwanie ruchu nie jest wystarczające. Konieczne jest też, aby oprogramowanie dekodujące działało w obrębie przeglądarki ofiary. Ponadto musi ono być traktowane jako pochodzące z serwera HTTPS, z którym sesja została przechwycona. Oznacza to, że trzeba obejść zabezpieczenia sprawdzające pochodzenie skryptu (same origin policy).

r   e   k   l   a   m   a

Poprawka, która zostanie wydana przez Microsoft pozwoli zabezpieczyć aplikacje korzystające z systemowych bibliotek kryptograficznych. Programy korzystające z innych bibliotek będą musiały być łatane oddzielnie.

© dobreprogramy

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.