Sælgere Scrambling til Fix Fix i Net Security

Fejlen ligger i SSL-protokollen, der er bedst kendt som teknologien, der bruges til sikker browsing på websteder, der begynder med HTTPS, og lader angriberne aflyser sikker SSL (Secure Sockets Layer) kommunikation mellem computere ved hjælp af det, der er kendt som et menneske-i-midten-angreb.

Selv om fejlen kun kan udnyttes under visse omstændigheder, kan den bruges til at hakke i servere i delt værtsmiljøer, postservere, databaser og mange andre sikre applikationer, ifølge Chris Paget, en sikkerhedsforsker, der har studeret problemet.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

"Det er en protokolniveau fejl. " sagde Paget, chefstekniker med en sikkerhedskonsulent kaldet H4rdw4re. "Der er mange ting, der skal løses på dette: Webbrowsere, Webservere, Webbelastningsbalancer, Webacceleratorer, Mailservere, SQL-servere, ODBC-drivere, Peer-to-Peer-protokoller."

Selv om en angriber først skal hakke ind i offerets netværk for at starte det man-i-midterangreb, vil resultaterne blive ødelæggende - især hvis de bruges i et målrettet angreb for at få adgang til en database eller en mailserver, Siger Paget.

SSL er konstant under mikroskop af sikkerhedsforskere, fordi det er så meget udbredt. I sidste år fandt forskere en måde at oprette falske SSL-certifikater, der kunne være tillid til af enhver browser, og i august afslørede forskere en håndfuld nye angreb, der kunne true SSL-trafik. Men i modsætning til de angreb, der havde at gøre med den infrastruktur, der bruges til at styre SSLs digitale certifikater, ligger denne seneste fejl i selve SSL-protokollen og vil blive meget sværere at rette.

Yderligere komplicerede forhold er det faktum, at fejlen var utilsigtet offentliggjort på en uklar mailliste onsdag, hvilket tvinger sælgerne til en galsk for at patchere deres produkter.

Problemet blev opdaget i Auguust af forskere hos PhoneFactor, et mobiltelefonsikkerhedsfirma. De havde arbejdet de sidste to måneder med et konsortium af teknologivirksomheder kaldet ICASI (Industriens Konsortium for Forbedring af Sikkerhed på Internettet) for at koordinere en brede løsning på problemet, kaldet "Project Mogul." Men deres omhyggelige planer blev smidt i uorden på onsdag, da SAP-ingeniør Martin Rex snuble over selve bugten. Tilsyneladende uvidende om problemets alvor, skrev han sine observationer om spørgsmålet til en IETF (Internet Engineering Task Force) diskussionsliste. Det blev derefter publiceret af sikkerhedsforsker HD Moore.

Ved onsdag eftermiddag talte nok folk om spørgsmålet om, at PhoneFactor besluttede at offentliggøre deres resultater. "På det tidspunkt følte vi, at de onde kendte, og vi følte, at vi havde et ansvar for de gode folk at vide også," sagde Sara Fender, PhoneFactors vice president for marketing.

Fender kunne ikke sige, hvem der var klar til at lappe problemet, men hun bemærkede, at en række open source-produkter er "ivrige" til at skubbe ud en patch. "Jeg tror, ​​vi ses i løbet af en nær fremtid," sagde hun.

ICASI kunne ikke nås til kommentar onsdag aften.

Selvom sikkerhedseksperter siger, at fejlen sandsynligvis har eksisteret i årevis, er det ikke menes at have været udnyttet i nogen angreb.

"Mens vi anser det for at være en materiel sårbarhed, er det ikke verdens ende," sagde Fender.