作者TypeZero (TypeZero)
看板AntiVirus
標題[情報] Web加密TLS與SSL有零時漏洞
時間Sun Nov 8 23:20:47 2009
*本文轉自:
http://www.zdnet.com.tw/news/comm/0,2000085675,20142604,00.htm
TLS與SSL協定出現零時漏洞(zero-day flaw),這兩個協定常用於網頁加密。漏洞詳情
已經公佈。
資安研究員Marsh Ray 與 Steve Dispensa週三公佈了TLS (Transport Layer Security,
傳輸層安全)漏洞。TLS與其前身SSL (Secure Sockets Layer,安全套接層)常被網路商店
與銀行用來強化網路交易的安全。
資安人員Ray週四在一篇部落格表示,他最初是在八月就發現漏洞,並在九月初告訴同事
Dispensa。
TLS認證流程中的漏洞可讓外人綁架用戶的瀏覽器,並成功冒用該用戶的身份,該資安人
員在技術文件中指出。
TLS的問題主要出在「認證空檔」(authentication gap)上,在加密認證流程中,由於
伺服器與用戶端之間的認證會出現不持續的狀況,使得攻擊者可趁機綁架資料串。
另外,研究員也表示,這個漏洞也讓外人得以以中間人(man-in-the-middle)攻擊的手
法來入侵Https伺服器。
另一位資安研究員Chris Paget 表示,由於這也會影響SSL,因此該漏洞會造成一大問題
。「這是通訊協定層次的漏洞,必須修改SSL與TLS運作的模式才能修正問題。」
Ray 與 Dispensa 已經將問題提報給產業組織ICASI,該組織由思科、IBM、英特爾、
Juniper、微軟與Nokia組成。他們也將此事通知IETF組織,以及部分開放原始碼SSL部署
計畫。
9月29日,好幾個組織已經開會決定成立一個專案計畫稱為「Project Mogul」,負責處理
修復方案。一開始他們會建立一個協定延伸當作初步解套的方式。Ray表示此方案應該近
期就會公佈。
由於週三已經有另一位研究員公佈了微軟IIS裡面有關「中間人TLS重新協商漏洞」,該漏
洞跟Ray所發現的是一樣的,且已經被研究員HD Moore發佈到Twitter上。
Ray與Dispensa判斷該漏洞已經流到公開領域,因此決定完整揭露他們的發現。
--
請大家一起拒絕使用危險的Internet Explorer 6!
一起來使用更安全的瀏覽器
Google Chrome 3.0、FireFox 3.5、Opera、 Safari
PS. PCMan、KKMan、...很多都是用Internet Explorer的核心,一樣危險!
請及早脫離Internet Explorer 6 以免造成您的電腦資安上問題!
By TypeZero 防毒板板主
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.46.166.150
推 VCCS:挖靠 好恐怖 這篇沒人推? 11/09 12:53
→ badyy:好可怕喔!有沒有什麼產品可以防這個啊!? 11/09 14:12
推 tedcat:從文章內容看來目前沒有產品阻擋,須從根本的層次著手 11/09 14:18