Показано с 1 по 1 из 1.

Один из методов обхода SSL все еще работает в IE, Safari и Chrome

  1. #1
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3162

    Один из методов обхода SSL все еще работает в IE, Safari и Chrome

    Девять недель спустя после того, как Мокси Марлинспайк продемонстрировал свой способ подделки SSL-сертификатов для практически любого сайта в интернете, эта уязвимость в Internet Explorer по-прежнему остается непропатченной.

    Баг кроется в прикладном интерфейсе CryptoAPI и позволяет обманным путем заставить IE, а также другие приложения, работающие с этим кодом, принимать подставные SSL-сертификаты. Данную методику можно использовать для маскировки под другие веб-ресурсы, VPN и почтовые серверы.

    Все дело в том, что уязвимость позволяет игнорировать все знаки, следующие за символами “\” и ”0”, в то время как выпускающие сертификаты организации смотрят на полное доменное имя, вне зависимости от того, содержит оно эти символы или нет.

    Таким образом, злоумышленник может завести на имя своего сайта легальный сертификат, а затем представить его как сертификат, выданный другому ресурсу. Например, если бы нужно было выдать сертификат сайта thoughtcrime.org за сертификат www.bankofamerica.com , то строка в нем выглядела бы следующим образом:

    www.bankofamerica.com\*thoughtcrime.org

    В числе браузеров, обрабатывающих SSL-сертификаты через библиотеку от Microsoft, находятся Google Chrome и Apple Safari для Windows. И эти браузеры, и IE будут показывать сайт, заверенный поддельным сертификатом, безо всякого предупреждения. В отличие от них, разработчики Firefox устранили данную дыру спустя несколько дней после того, как она была продемонстрирована на конференции Black Hat.

    Когда этот баг закроет Microsoft, пока не ясно.

    xakep.ru

  2. Реклама
     

Похожие темы

  1. Mozilla запустила сервис для проверки версий плагинов в браузерах Opera, Chrome, Safari, IE
    От olejah в разделе Новости компьютерной безопасности
    Ответов: 2
    Последнее сообщение: 13.05.2010, 21:04
  2. Найден способ обхода методов авторизации чиповых банковских карт
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 2
    Последнее сообщение: 15.02.2010, 01:03
  3. Opera хуже Internet Explorer, Firefox, Chrome и Safari
    От SDA в разделе Новости интернет-пространства
    Ответов: 12
    Последнее сообщение: 20.01.2010, 13:46
  4. В споре браузеров Google Chrome отодвинул Apple Safari на четвертое место
    От SDA в разделе Новости интернет-пространства
    Ответов: 0
    Последнее сообщение: 16.12.2009, 10:49
  5. IE, Chrome и Safari одурачены поддельным SSL-сертификатом PayPal
    От SDA в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 06.10.2009, 16:19

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00477 seconds with 18 queries