Safari Apple и браузеры Гугл Android находятся в опасности от не так давно найденного недостатка шифрования безопасности, известного как Учитывающий наступление на Ключи RSA-ЭКСПОРТА либо ПЯТНО.Целостность Уровня защищенных сокетов (SSL) и шифрования Безопасности транспортного уровня (TLS) есть центром не так давно найденной уязвимости, известной как Учитывающий наступление на Ключи RSA-ЭКСПОРТА либо ПЯТНО, которое имело возможность возможно разрешить атакующим дешифровать защищенный трафик данных.Необычная уязвимость, также идентифицированная как CVE-2015-0204, есть криптографической слабостью, которая инициирована при помощи того, что известно как криптография класса экспорта.
Об этом сказала научно-исследовательская работа рук, которая есть совместным проектом INRIA и Микрософт Research.«Это наступление предназначается для класса сознательно не сильный наборов шифров экспорта», заявили исследователи рук. «Потому, что имя подразумевает, этот класс методов были представлены под давлением американских правительственных агентств, чтобы обеспечивать, что они будут в состоянии дешифровать всю внешнюю зашифрованную коммуникацию, тогда как более сильные методы были быть не разрешёнными войти в экспорт (потому, что они были классифицированы как оружие войны)».Недостаток есть практически в OpenSSL с открытым исходным кодом криптографической библиотекой для предположений до 1.0.1k, и это было уже исправлено в восходящем проекте с открытым исходным кодом.
Согласно консультации CVE, НЕОБЫЧНОЕ наступление «разрешает удаленным серверам SSL проводить нападения понижения RSA-to-EXPORT_RSA и упрощать дешифрование «в лоб», предлагая не сильный эфемерный RSA, вводят несоответствующую роль».Серверы, которые поддерживают применение криптографии класса экспорта, находятся в опасности, и вдобавок Android Гугл и веб-браузер Safari Apple.
«Мы призываем все веб-сайты отключать помощь сертификатов экспорта», сообщил докладчик Гугл eWEEK в электронном письме. «Связи Android с большинством веб-сайтов – которые включают сайты Гугл и других без сертификатов экспорта – не подвергаются этой уязвимости».Докладчик Гугл сказал, что Гугл также создал патч для защиты связи Android с сайтами, которые вправду воображают экспорт certs, и тот патч был предоставлен партнерам. Исследователи рук отметили в их дискуссии НЕОБЫЧНОГО недостатка, что сказали затронутым поставщикам, и Apple рекомендовала им, что патч прибывает.
НЕОБЫЧНОЕ наступление присоединяется ко многим уязвимостям в SSL/TLS, которые были продемонстрированы сейчас. В октябре 2014 исследователи Гугл раскрыли уязвимость ПУДЕЛЯ в SSL 3.0.
Heartbleed, недостаток большого влияния в OpenSSL, был раскрыт в апреле 2014. В 2011 наступление ЖИВОТНОГО на SSL/TLS, что все еще воздействует примерно на 80 процентов сайтов, протестированных обслуживанием Импульса SSL Labs Qualys, было раскрыто.
Открытие еще одной уязвимости SSL/TLS не есть удивлением Кевину Босеку, вице-президенту стратегии безопасности и аналитики угрозы в Venafi.«Еще существуют без сомнений, многие протоколируют, crypto и уязвимости сертификата, в том месте прячущиеся», сообщил Босек.
Босек сказал, что SSL/TLS и их связанные цифровые сертификаты являются базой безопасности в сети. В следствии независимо от уязвимости, главный урок есть тем же: SSL/TLS, сертификаты и ключи через чур серьёзны, чтобы рассматриваться со слепым доверием.
«Heartbleed был легко булавочным уколом и с громадным числом сайтов посредством сертификатов и шифрования чем когда-либо прежде, цель становится больше для нехороших парней», сообщил он. «Их интерес к прерыванию зашифрованного трафика, спуфингу надежных сайтов либо сокрытию в шифровании лишь растет».Bocek предлагает, чтобы для специалистов безопасности IT-совокупностей, верный путь вперед не считал само собой разумеющимся SSL/TLS и сертификаты.
«Знайте, какой crypto Вы используете и знаете везде, что у Вас имеется включение сертификатов в облако и с CDNs [сети доставки контента]», сообщил он. «Все нападения и уязвимости на SSL/TLS и сертификаты продемонстрировали нам, что время закончилось».Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.