В OpenSSL и Apple SecureTransport до сих пор присутствует уязвимость более чем 20-летней давности

Брешь FREAK Attack существует из-за экспортных ограничений, действовавших на территории США в 90-х годах.

Исследователи безопасности предупреждают, что в OpenSSL и Apple SecureTransport свыше 20 лет существует уязвимость FREAK Attack, позволяющая раскрыть важные данные. Как сообщает Washington Post, эта брешь появилась из-за экспортных ограничений, которые присутствовали в США в 90-х годах, и может поставить под угрозу безопасность миллионов web-сайтов.

Уязвимость позволяет злоумышленнику расшифровать файлы cookie и прочую важную информацию, полученную через соединение HTTPS. Отметим, что брешь работает лишь на некоторых браузерах, использующих устаревшую версию OpenSSL/SecureTransport (например, Apple Safari).

Оказалось, что злоумышленники могут с помощью определенных манипуляций вынудить уязвимые приложения использовать слабые ключи шифрования. В результате хакеры могут расшифровать и похитить важную информацию, передающуюся через SSL-трафик.

Уязвимости был присвоен идентификатор CVE-2015-0204. Разработчики OpenSSL исправили брешь в январе нынешнего года, в то время как Apple пообещала выпустить обновление для SecureTransport на iOS и OS X. Пользователям данных операционных систем рекомендуется проверить наличие исправлений.

Брешь существует из-за того, что в 90-х годах правительство США запрещало американцам экспортировать ПО, которое не использовало специальные "экспортные наборы ключей". Максимальная длина ключа в таких наборах не должна была превышать 512 бит. С тех пор ограничения были сняты, но некоторые реализации SSL и TLS до сих пор поддерживают устаревшую технологию.

Tweet