ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

В OpenSSL и Apple SecureTransport до сих пор присутствует уязвимость более чем 20-летней давности

Уязвимость

Брешь FREAK Attack существует из-за экспортных ограничений, действовавших на территории США в 90-х годах.

Исследователи безопасности предупреждают, что в OpenSSL и Apple SecureTransport свыше 20 лет существует уязвимость FREAK Attack, позволяющая раскрыть важные данные. Как сообщает Washington Post, эта брешь появилась из-за экспортных ограничений, которые присутствовали в США в 90-х годах, и может поставить под угрозу безопасность миллионов web-сайтов.

Уязвимость позволяет злоумышленнику расшифровать файлы cookie и прочую важную информацию, полученную через соединение HTTPS. Отметим, что брешь работает лишь на некоторых браузерах, использующих устаревшую версию OpenSSL/SecureTransport (например, Apple Safari).

Оказалось, что злоумышленники могут с помощью определенных манипуляций вынудить уязвимые приложения использовать слабые ключи шифрования. В результате хакеры могут расшифровать и похитить важную информацию, передающуюся через SSL-трафик.

Уязвимости был присвоен идентификатор CVE-2015-0204. Разработчики OpenSSL исправили брешь в январе нынешнего года, в то время как Apple пообещала выпустить обновление для SecureTransport на iOS и OS X. Пользователям данных операционных систем рекомендуется проверить наличие исправлений.

Брешь существует из-за того, что в 90-х годах правительство США запрещало американцам экспортировать ПО, которое не использовало специальные "экспортные наборы ключей". Максимальная длина ключа в таких наборах не должна была превышать 512 бит. С тех пор ограничения были сняты, но некоторые реализации SSL и TLS до сих пор поддерживают устаревшую технологию.


Security Lab (06.03.2015 в 10:52) | вверх страницы | к списку новостей

Общие вопросы:

Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2015 ООО "Ди Эй Кей продакшн"