docProtokół SSL/TLS podatny
download 
Reklamacja Transkrypt
Protokół SSL/TLS podatny
CERT.GOV.PL Źródło: http://www.cert.gov.pl/cer/wiadomosci/zagrozenia-i-podatnosc/487,Protokol-SSLTLS-podatny.html Wygenerowano: Czwartek, 9 marca 2017, 00:51 Protokół SSL/TLS podatny Microsoft wydał poradnik bezpieczeństwa informujący o luce w protokole SSL (Secure Socket Layer) i TLS (Transport Layer Security). Wykorzystywanie tej luki może pozwolić atakującemu na odszyfrowanie ruchu SSL/TLS i uzyskanie wrażliwych informacji. Głównym celem ataku jest przeglądarka i wykorzystywany przez nią protokół HTTPS. Atakujący może wstrzyknąć złośliwy kod w odpowiedź HTTP, wymuszając na przeglądarce wykonanie tego kodu. Nastepnie kod będzie wysyłał kilka zapytań wewnątrz sesji TLS/SSL do kolejnej witryny HTTPS. Wykorzystując atak "man-in-the-middle", napastnik jest w stanie przechwycić komunikacją https i wykorzystując podatność w SSL - będzie w stanie rozszyfrować część szyfrowanego ruchu, np. authorisation cookies. Obecnie nie opublikowano odpowiedniej łaty, jednakże należy zastosować któreś obejście proponowane przez Microsoft: ● ● ● wymuszenie stosowania algorytmu RC4 w systemach Windows Vista, Windows Server 2008 i późniejszych (atak jest tylko możliwy na algorytmach wykorzystujących szyfrowanie blokowe np. AES); włączenie TLS 1.1 i/lub 1.2 w Internet Explorer na systemach Windows 7 lub Windows Server 2008 R2; blokowanie kontrolek ActiveX i aktywnych skryptów w strefach Internet i Lokolanej (można to osiągnąć ustawiając poziom bezpieczeństwa na "Wysoki" dla tych stref). CERT.GOV.PL zaleca użytkownikom i administratorom zapoznanie się z poradnikiem bezpieczeństwa (2588513) i zastosowanie zalecanych przez Microsoft obejść w celu zminimalizowania ryzyka. Przydatne linki: http://www.kb.cert.org/vuls/id/864643 http://technet.microsoft.com/en-us/security/advisory/2588513 http://support.microsoft.com/kb/2588513 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3389 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-3389 SSL/TLS, Man-in-the-Middle, przegladarka, Internet Explorer MP Ocena: 3.5/5 (6)
