【SSL安全漏洞現身 可能波及多數網站】
PhoneFactor說,由於這是一個協定漏洞,而非僅為實作漏洞,因此影響深遠,所有的SSL函式庫都必須進行修補。
兩名來自PhoneFactor的研究人員在本周揭露了SSL協定的安全漏洞,指出相關的漏洞可能導致中間人攻擊,而且多數使用SSL的網站皆受到影響。
SSL的全名為Secure Sockets Layer(安全通訊端層),是網路上最普遍的資料安全協定,許多網路銀行及網站皆採用該協定來保障使用者的通訊安全。
PhoneFactor的Marsh Ray與Steve Dispensa是在今年9月發現SSL協定標準的安全漏洞,不論是網友執行網路銀行服務,或是使用網路服務協定的企業後端系統,以及像是某些非使用HTTP的郵件與資料庫伺服器皆受到該漏洞的影響。
PhoneFactor指出,此一SSL憑證缺口(SSL Authentication Gap)可讓駭客發動中間人攻擊,影響多數在網路上採用SSL協定的伺服器,此外,該漏洞亦允許駭客將自己注入驗證SSL的通訊路徑並執行命令,使得不管是伺服器或是瀏覽器都不知道雙方的通訊已被劫持。
PhoneFactor原本預計要到明年初才會揭露此漏洞,以讓業者有時間修補漏洞,但有一名獨立研究人員在本周於網路技術工作小組(Internet Engineering Task Force,IETF)的郵件論壇中公開了該漏洞,使得此一漏洞消息迅速蔓延。
PhoneFactor說,由於這是一個協定漏洞,而非僅為實作漏洞,因此影響深遠,所有的SSL函式庫都必須進行修補,而且多數的客戶端及伺服器端的應用程式起碼要採用最新的SSL函式庫,而使用者也必須更新所有使用SSL的軟體。
包括微軟、英特爾、IBM及思科等各大科技業者都已加入修補該漏洞的行列,目前解決方案已出爐,並處於全面部署前的測試階段。
引用:http://tw.myblog.yahoo.com/jw!Wh2mtbmXFAA0_3UdZO.j4cYZT08-/article?mid=4386
| 歡迎光臨 【五術堪輿學苑】 (http://aa.wsky.ink/) | Powered by Discuz! X3.1 |