This is a machine translation. The original page (in English) is available here.
Windows
Mac OS
Mobile

Neueste news: November 12, 2016 - Wir haben einen neuen undetectable Tasten-Rekorder für Sie. RSS-Feed

Home>Nachrichten>Microsoft Internet Explorer SSL-Sicherheitslücke verweilt

AnyKeylogger für Mac

Microsoft Internet Explorer SSL-Sicherheitslücke verweilt

Microsoft noch nicht an eine Schwäche in Ihrem Internet Explorer-browser, wurde darauf hingewiesen, sieben Wochen und ermöglicht Angreifern zu entführen, was sollen die sichere Web-sessions.

Das Unternehmen sagt, es ist immer noch der Bewertung, ob der Schwäche vorhanden ist, aber Apple, die Grundlagen für die Safari für Windows-browser, die auf Microsoft-code, sagt Safari für Windows hat die Schwäche und den Microsoft-code ist der Grund. Wenn Microsoft das problem nicht beheben lässt, den Apple nicht beheben können, es auf seine eigene, sagt Apple. Apple hat das problem behoben für Safari für Macs.

Schwarzen Hut berüchtigtsten Vorfälle: ein quiz

"Microsoft untersucht derzeit eine mögliche Sicherheitsanfälligkeit in Microsoft Windows. Sobald unsere Untersuchung abgeschlossen ist, werden wir entsprechende Maßnahmen ergreifen, unsere Kunden zu schützen", eine Microsoft-Sprecherin sagte, per e-mail. "Wir werden nicht mehr haben zu teilen, zu dieser Zeit."

Die Schwachstelle kann ausgenutzt werden, indem man-in-the-middle-Angreifer, der trick, den browser in die Herstellung von SSL-Sitzungen mit böswilligen Servern eher als der legitime Server-Benutzer anschließen möchten.

Aktuelle Versionen von Safari für Mac, Firefox und Opera das problem anzugehen, die mit, wie Browser Lesen x.509-Zertifikate, die zur Authentifizierung von Maschinen tätig in der Einrichtung von SSL/TLS-Sitzungen.

Im Juli zwei separate Gespräche präsentieren Forscher Dan Kaminski und Moxie Marlinspike auf der Black Hat-Konferenz gewarnt, wie die Sicherheitsanfälligkeit kann ausgenutzt werden, indem Sie call-null-Präfix-Attacken. Die Angriffe betreffen bekommen Zertifizierungsstellen signieren von Zertifikaten für Domainnamen zugeordnet legitimen domain-Namen-Halter und macht anfällig Browser interpretieren die Zertifikate als bevollmächtigten für die verschiedenen domain-Namen-Halter.

Zum Beispiel könnte jemand registrieren www.hacker.com. In vielen x.509-Implementierungen die Zertifizierungsstelle signiert die Zertifikate für jede Anfrage aus der hacker.com root-Domäne, die unabhängig von jeder sub-domain-Präfixe, könnten angefügt werden. In diesem Fall würde die Behörde anmelden, ein Zertifikat für bestbank.hacker.com das ignorieren der sub-domain bestbank und-Signierung auf der Basis der root-Domäne hacker.com, Marlinspike, sagt.

Zur gleichen Zeit, die Browser die Fehler, die er beschreibt, Lesen x.509-Zertifikate bis zum erreichen eines null-Zeichen, z.B. 0. Wenn so ein browser liest bestbank.com\0hacker.com es würde aufhören zu Lesen, bei der 0 und interpretieren Sie das Zertifikat als Zertifikat authentifizieren, die die root-domain bestbank.com, sagt der Forscher. Browser ohne die Fehler korrekt zu identifizieren, die root-Domäne und Unterschreiben oder nicht Unterschreiben.

Ein Angreifer könnte diese Schwäche durch den Aufbau einer man-in-the-middle-Angriffe und das abfangen von Anfragen aus gefährdeten Browser einrichten von SSL-verbindungen. Wenn der angreifende server nimmt eine Anfrage ab, um bestbank.com es könnte Antworten mit einem x authentifiziert.509-Zertifikat aus bestbank.com\0hacker.com. Der anfällige browser interpretieren würde das Zeugnis als berechtigt bestbank.com und einrichten einer sicheren Sitzung mit dem Angriff auf server. Der Benutzer, der Sie beantragt hat, eine Sitzung mit bestbank würde selbstverständlich davon aus die Verbindung aufgebaut wurde, um bestbank.

Sobald die Verbindung hergestellt ist, wird der bösartige server Fragen kann, und für Passwörter und Benutzer-Identifikationen, die Angreifer ausnutzen können, um in zu brechen Nutzer bestbank Konten und manipulieren Fonds zum Beispiel Marlinspike sagt.

In einigen Fällen können Angreifer schaffen, was Marlinspike fordert wildcard-Zertifikate, Authentifizierung beliebige domain-Namen. Diese Zertifikate verwenden Sie ein Sternchen als sub-domain, gefolgt von einem null-Zeichen, gefolgt von einem registrierten root-domain. Ein anfälliger browser initiiert eine SSL-Sitzung mit bestbank.com interpretieren würde ein Zertifikat mit *markiert\0hacker.com wie aus bestbank.com denn es würde automatisch zu akzeptieren, die * als legitim für alle root-Domäne.

Ist dies auf "eine Besonderheit in der Art Network Security Services (NSS) entspricht wildcards" Marlinspike sagt, in einem Papier detailliert den Angriff. Solche Platzhalter entsprechen allen Domänen, sagt er.

Die Unterschiede zwischen dem, was der Benutzer auf seinem Bildschirm sehen, wenn Sie auf die Website, die Sie wollen, und wenn Sie den Treffer eines Angreifers mock-Website können subtil sein. Die URLs in den browser würden zeigen, dass der falsche Ort ist erreicht worden, aber viele Benutzer nicht überprüfen, dass, Marlinspike, sagt.

Ein Microsoft-Sprecher sagt, dass Internet Explorer 8 zu highlights von domains, um Sie noch visuell offensichtlich, in schwarz gedruckt, während der rest der URL Grau dargestellt ist. "Internet Explorer 8 eine verbesserte Adressleiste hilft Nutzer leichter sicherstellen, dass Sie persönliche Daten nur auf Seiten, denen Sie Vertrauen", ein Microsoft-Sprecher sagte in einer e-mail.

Marlinspike sagt das null-Zeichen Sicherheitsanfälligkeit ist jedoch nicht beschränkt auf Browser. "[P]lenty von nicht-Web-Browser sind auch anfällig. Outlook, zum Beispiel mit SSL schützen Sie Ihr login/Passwort bei der Kommunikation über SMTP und POP3/IMAP. Es gibt wohl unzählige andere Windows-basierten SSL-VPNs, chat-clients, etc. sind alle verletzlich", sagte er in einer e-mail.
Home>Nachrichten>Microsoft Internet Explorer SSL-Sicherheitslücke verweilt
WICHTIG!!!! Installation von computer-monitoring-tools auf Computern, die Sie nicht besitzen oder haben keine Berechtigung zum monitor kann gegen lokale, Staatliche oder bundesstaatliche Gesetz.
Suggest translation