SSL Hole Cracks Åbn sikret webtrafik

Udnyttelse af fejlen kræver adgang til den specifikke netværkstrafik mellem en klient, f.eks. en webbrowser og en webserver eller en anden server. Det betyder, at de fleste hjemmebrugere sandsynligvis ikke vil blive specifikt målrettet mod et af disse potentielle menneske-i-midterangreb, ifølge opdageren Marsh Ray, en sikkerhedsforsker hos PhoneFactor, som giver telefonbaserede tofaktorautentiseringsløsninger.

Men virksomheder og organisationer er sandsynligvis mål. Per Ray kan enhver SSL-beskyttet trafik muligvis være sårbar, hvad enten det drejer sig om en https-side, sikret databasekommunikation eller en sikret e-mail-forbindelse. Problemet tillader ikke at dekryptere og stjæle SSL-krypterede data direkte, men giver i stedet mulighed for at indsætte en kommando i kommunikationsstrømmen.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Det ville være dårligt nok til https-trafik, hvor et offer for webbrowser kunne laves til at sende data til et angriberstyret websted. Og det kan vise sig ødelæggende for en databaseserver.

Ray siger, at PhoneFactor oprindeligt fandt fejlen i august, mens den gennemførte intern sikkerhedstest og holdt det roligt, mens berørte leverandører og softwaregrupper arbejdede på en løsning. Men i mellemtiden fandt en uafhængig forsker også fejlen, og nyheden brød.

Patches er i gang, men endnu ikke tilgængelige. Den øjeblikkeligt foreslåede løsning vil kræve patching af alle klient- og serverapplikationer, herunder webbrowsere, e-mail-programmer og andre programmer, der bruger SSL-biblioteker, ifølge Ray.

PhoneFactors post på problemet er op på virksomhedens websted og en sikkerhedsforsker ved navn Chris Paget har skrevet sine tanker om emnet (rul ned til kommentarerne for at se nogle frem og tilbage mellem Ray og Paget). IDG nyhedstjenesten har også en god historie om emnet.