Новости Software

Обнаружена новая уязвимость в протоколе SSL

Текущий год нельзя назвать удачным для веб-шифрования и безопасности Интернета. В апреле этого года была выявлена серьёзная уязвимость Heartbleed в широко используемом наборе бесплатных инструментов шифрования сайтов OpenSSL. В сентябре в командной оболочке Bash была обнаружена масштабная уязвимость. Теперь Google выявила дыру в уже устаревшем протоколе SSL 3.0, который, впрочем, используется большинством современных браузеров в случае сбоя соединения.

Хакеры могут умышлено вызвать нарушение соединения, после чего веб-обозреватель будет пытаться использовать более старые версии протокола, в том числе 3.0, ставя под угрозу безопасность системы. Как отмечает Google в описании уязвимости, эксплойт может использоваться в атаках методом перехвата сообщений и подмены ключей с целью дешифровки защищённых данных HTTP cookies.

 Aurich Lawson / Thinkstock

Aurich Lawson / Thinkstock

Чтобы закрыть эту дыру в безопасности, следует отключить поддержку SSL 3.0 или режим CBC-шифрования с его поддержкой. Однако этот шаг вызовет значительные проблемы с совместимостью и отказ работы ряда сайтов. Google пока рекомендует использовать механизм TLS_FALLBACK_SCSV, которые решает проблему повторного соединения и тем самым препятствует хакерам вынуждать браузеры использовать SSL 3.0. Это также запрещает переключение с протокола TSL 1.2 на более ранние версии, чем может помочь избежать будущих атак.

Веб-серверы Google и браузер Chrome ещё с февраля получили поддержку механизма TLS_FALLBACK_SCSV. Кроме того, команда Chrome уже начала тестирование отключения возможности отката к SSL 3.0.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Sony раскрыла, сколько эксклюзивы PlayStation придётся ждать на ПК 2 ч.
Илон Маск снова захотел купить Twitter 2 ч.
В деле Twitter против Маска появился ещё один потенциальный свидетель: он заявил, что 20 % аккаунтов на платформе — боты 3 ч.
Electronic Arts засветила баннер и название новой Need for Speed — анонс уже на этой неделе 3 ч.
Безбумажный HR: малым и средним предприятиям открыли демо-доступ к HRlink 3 ч.
БигМак за биткоины — McDonald’s в швейцарском Лугано начала принимать криптовалюты 4 ч.
В офисе Apple в Южной Корее прошёл рейд из-за обвинений в завышенных комиссиях в App Store 4 ч.
Релиз стратегии Company of Heroes 3 отложили на три месяца, чтобы не разочаровать игроков 5 ч.
Вслед за «Ведьмаком»: инсайдер сообщил об отказе разработчиков Halo от собственного дорогостоящего движка в пользу Unreal Engine 5 8 ч.
Великобритания запретила оказывать IT-консалтинговые услуги клиентам из России 8 ч.
Intel Labs представила нейроморфный ускоритель Kapoho Point — 8 млн электронных нейронов на 10-см плате 28 мин.
Белый дом предложил Билль о правах ИИ — он должен защитить американских граждан от самого ИИ 3 ч.
Первые покупатели vivo V25 Pro получат в подарок беспроводные наушники 3 ч.
Micron построит огромный завод по производству чипов в США за $100 млрд 4 ч.
Поставки iPhone индийского происхождения выросли до $1 млрд за последние 5 месяцев и будут расти дальше 4 ч.
Нобелевскую премию по физике в 2022 году получили исследователи квантовой запутанности и нарушений неравенств Белла 4 ч.
NZXT представила материнскую плату N7 B650E для процессоров AMD Ryzen 7000 5 ч.
ASUS представила платы ROG Strix, TUF Gaming, Pro Art и Prime на чипсетах AMD B650E и B650 для процессоров Ryzen 7000 5 ч.
Евросоюз утвердил полный переход на USB Type-C, и для Apple исключения не сделают 6 ч.
Просто добавь воды: учёные создали «чип» на ионных транзисторах в жидкой среде 7 ч.