【SSL安全漏洞現身 可能波及多數網站】

tan2818

【SSL安全漏洞現身　可能波及多數網站】

 

PhoneFactor說，由於這是一個協定漏洞，而非僅為實作漏洞，因此影響深遠，所有的SSL函式庫都必須進行修補。

 

兩名來自PhoneFactor的研究人員在本周揭露了SSL協定的安全漏洞，指出相關的漏洞可能導致中間人攻擊，而且多數使用SSL的網站皆受到影響。

SSL的全名為Secure Sockets Layer（安全通訊端層），是網路上最普遍的資料安全協定，許多網路銀行及網站皆採用該協定來保障使用者的通訊安全。

PhoneFactor的Marsh Ray與Steve Dispensa是在今年9月發現SSL協定標準的安全漏洞，不論是網友執行網路銀行服務，或是使用網路服務協定的企業後端系統，以及像是某些非使用HTTP的郵件與資料庫伺服器皆受到該漏洞的影響。

PhoneFactor指出，此一SSL憑證缺口（SSL Authentication Gap）可讓駭客發動中間人攻擊，影響多數在網路上採用SSL協定的伺服器，此外，該漏洞亦允許駭客將自己注入驗證SSL的通訊路徑並執行命令，使得不管是伺服器或是瀏覽器都不知道雙方的通訊已被劫持。

PhoneFactor原本預計要到明年初才會揭露此漏洞，以讓業者有時間修補漏洞，但有一名獨立研究人員在本周於網路技術工作小組（Internet Engineering Task Force，IETF）的郵件論壇中公開了該漏洞，使得此一漏洞消息迅速蔓延。

PhoneFactor說，由於這是一個協定漏洞，而非僅為實作漏洞，因此影響深遠，所有的SSL函式庫都必須進行修補，而且多數的客戶端及伺服器端的應用程式起碼要採用最新的SSL函式庫，而使用者也必須更新所有使用SSL的軟體。

包括微軟、英特爾、IBM及思科等各大科技業者都已加入修補該漏洞的行列，目前解決方案已出爐，並處於全面部署前的測試階段。

 

 

引用：http://tw.myblog.yahoo.com/jw!Wh2mtbmXFAA0_3UdZO.j4cYZT08-/article?mid=4386