POODLE: új sebezhetőség a weben

Újabb, régóta tátongó, és befoltozatlan hibalehetőségre derült fény!

Forrás: Gálffy Csaba, 2014. október 15. 14:30

security_sslv3-4Közbeékelődő (man-in-the-middle) támadások célpontjává válhat minden olyan kommunikáció, amely SSL 3.0-t használ. A probléma, hogy erre a legtöbb böngésző kényelmesen rávehető, a megoldást a támogatás leállítása jelentheti.

Hozzáférhet a titkosított HTTP kapcsolatokon folyó forgalomhoz egy közbeékelődő támadó – ezt eredményezi a Google mérnökei által bejelentett új biztonsági probléma, a POODLE (Padding Oracle On Downgraded Legacy Encryption).

Az új támadási forma, a 2011-es BEAST és a 2012-es CRIME támadáshoz hasonlóan lehetővé teszi, hogy egy fertőzött Wi-Fi hotspot, internetszolgáltató vagy bármilyen hatóság megfelelő módszerekkel gyengébb titkosításra vegye rá a kommunikáló klienset és a szervert, majd ezt a titkosítást feltörje.

Az Ars Technica egyszerűsített leírása szerint a támadás a következőképp valósul meg: a támadó, aki a hálózati forgalmat saját belátása szerint tudja befolyásolni, a titkosítás nélküli kapcsolaton JavaScript injekcióval ráveszi a böngészőt, hogy a biztonságos kapcsolaton egy adott elemet (például egy képet) újra és újra letöltsön. Az így megvalósuló repetitív forgalmat a támadó úgy tudja újrarendezni, hogy az üzenet egy bájtját 1/256 eséllyel ki tudja találni – siker esetén a másodikat és így tovább. A támadó célja megszerezni a kliens által minden üzenetben elküldött süti (cookie) teljes tartalmát, ennek birtokában ugyanis azonos hozzáférést szerez, mint az áldozat (például bejentkezhet az online bankba vagy a webes emailbe). Mivel a script futása és a támadó ténykedése a felhasználó számára teljesen láthatatlan maradhat, a folyamatban lévő támadásról az áldozat nem is tud. A támadás egy részletesebb leírása itt olvasható.

A téma bővebb taglalása, és a védekezés egyik lehetséges megoldása a fórumunkban elolvasható.
NTamas

Translate »
%d blogger ezt szereti:

Weboldalunk cookie-kat használ annak érdekében, hogy megkülönböztesse Önt weboldalunk többi felhasználójától. Ez segítséget nyújt számunkra, hogy weboldalunk böngészése során jobb élményt nyújthassunk Önnek, valamint az oldalunk fejlesztéséhez is hasznosak. további információ

Ha hozzájárult a cookie-k használatához, a böngésző cookie-kat tárol az Ön számítógépén vagy egyéb eszközén, hogy rendszerünk felismerje beállításait. A hozzájárulás érvényessége időnként lejár. Azonban, hogyha szeretné visszavonni hozzájárulását, a böngészője cookie beállításai között bármikor megteheti.

Bezár