Bρέθηκε κενό ασφαλείας στα πρωτόκολλα SSL 3.0 και TLS 1.0 . Το κακό είναι ότι μπορούν να χτυπήσουν μέσω HTTP αλλά και μέσω HTTPS. Ο επιτιθέμενος μπορεί να βάλει κακόβουλο κώδικα να τρέχει από ένα browser μέσω HTTP και αυτό έχει αντίκτυπο στέλνοντας πακέτα να βλάψει μια σελίδα με HTTPS σύνδεση. Το σενάριο για να είναι επιτυχές θα πρέπει το θύμα να έχει αυθεντικοποιήσει τα στοιχεία του χρησιμοποιώντας αυτόματα cookies. Η επίθεση χαρακτηρίζεται man in the middle αφού ο επιτιθέμενος παίρνει τα στοιχεία και τα αποκρυπτογραφεί. Η Microsoft λέει ότι μπορεί να χτυπήσει όλα τα λειτουργικά της και μέχρι να βγάλει κάποιο update προτείνει να ενεργοποιηθούν τα TLS 1.1 και 1.2 και στους server και στους clients των web browser.
Τρίτη 27 Σεπτεμβρίου 2011
Εγγραφή σε:
Σχόλια ανάρτησης (Atom)
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου