POODLE: új sebezhetőség a weben

Újabb, régóta tátongó, és befoltozatlan hibalehetőségre derült fény!

Forrás: Gálffy Csaba, 2014. október 15. 14:30

security_sslv3-4Közbeékelődő (man-in-the-middle) támadások célpontjává válhat minden olyan kommunikáció, amely SSL 3.0-t használ. A probléma, hogy erre a legtöbb böngésző kényelmesen rávehető, a megoldást a támogatás leállítása jelentheti.

Hozzáférhet a titkosított HTTP kapcsolatokon folyó forgalomhoz egy közbeékelődő támadó – ezt eredményezi a Google mérnökei által bejelentett új biztonsági probléma, a POODLE (Padding Oracle On Downgraded Legacy Encryption).

Az új támadási forma, a 2011-es BEAST és a 2012-es CRIME támadáshoz hasonlóan lehetővé teszi, hogy egy fertőzött Wi-Fi hotspot, internetszolgáltató vagy bármilyen hatóság megfelelő módszerekkel gyengébb titkosításra vegye rá a kommunikáló klienset és a szervert, majd ezt a titkosítást feltörje.

Az Ars Technica egyszerűsített leírása szerint a támadás a következőképp valósul meg: a támadó, aki a hálózati forgalmat saját belátása szerint tudja befolyásolni, a titkosítás nélküli kapcsolaton JavaScript injekcióval ráveszi a böngészőt, hogy a biztonságos kapcsolaton egy adott elemet (például egy képet) újra és újra letöltsön. Az így megvalósuló repetitív forgalmat a támadó úgy tudja újrarendezni, hogy az üzenet egy bájtját 1/256 eséllyel ki tudja találni – siker esetén a másodikat és így tovább. A támadó célja megszerezni a kliens által minden üzenetben elküldött süti (cookie) teljes tartalmát, ennek birtokában ugyanis azonos hozzáférést szerez, mint az áldozat (például bejentkezhet az online bankba vagy a webes emailbe). Mivel a script futása és a támadó ténykedése a felhasználó számára teljesen láthatatlan maradhat, a folyamatban lévő támadásról az áldozat nem is tud. A támadás egy részletesebb leírása itt olvasható.

A téma bővebb taglalása, és a védekezés egyik lehetséges megoldása a fórumunkban elolvasható.
NTamas

megosztom

Vélemény, hozzászólás?