This is a machine translation. The original page (in English) is available here.
Windows
Mac OS
Mobile

Dernières nouvelles: le 12 novembre 2016 - Nous avons trouvé un nouveau indétectable enregistreurs de frappe pour vous. Flux RSS

Accueil>news du Monde>Microsoft Internet Explorer SSL trou de sécurité s'attarde

AnyKeylogger pour Mac

Microsoft Internet Explorer SSL trou de sécurité s'attarde

Microsoft ne reconnaît toujours pas une faiblesse dans son navigateur Internet Explorer qui a été souligné sept semaines et permet à des attaquants afin de détourner ce que sont censés être de sécuriser les sessions Web.

La compagnie dit qu'elle est toujours en train d'évaluer si la faiblesse, mais Apple, qui fonde son Safari pour Windows, navigateur de Microsoft code, dit Safari pour Windows a de la faiblesse et de la Microsoft est le code de raison. Si Microsoft ne corrige pas le problème, Apple ne peut pas le fixer sur son propre, Apple dit. Apple a corrigé le problème pour Safari pour Mac.

Chapeau noir le plus célèbre d'incidents: un quiz

"Microsoft est en train d'étudier une possible vulnérabilité dans Microsoft Windows. Une fois notre enquête, nous prendrons les mesures appropriées pour protéger les clients," un porte-parole de Microsoft a déclaré par e-mail. "Nous n'aurons pas plus de part à ce moment."

La faille peut être exploitée par l'homme-dans-le-milieu des attaquants qui truc le navigateur dans la fabrication des sessions SSL avec des serveurs plutôt que de la légitime serveurs, les utilisateurs ont l'intention de se connecter.

Les dernières versions de Safari pour Mac, Firefox et Opera résoudre le problème, qui est lié à la manière dont les navigateurs lire le x.509 certificats qui sont utilisés pour authentifier les machines impliquées dans la mise en place de SSL/TLS sessions.

En juillet, deux exposés présentée par des chercheurs Dan Kaminski et Moxie Marlinspike, lors de la Conférence Black Hat mis en garde sur la façon dont la vulnérabilité pourrait être exploitée en utilisant ce qu'ils appellent null-préfixe d'attaques. Les attaques impliquer les autorités de certification pour signer des certificats pour les noms de domaine attribués sont légitimes détenteurs de nom de domaine et de rendre vulnérables les navigateurs n'interprètent les certificats autorisée pour les différents détenteurs de nom de domaine.

Par exemple, une personne peut s'inscrire www.hacker.com. Dans de nombreux x.509 les implémentations de l'autorité de certification signer des certificats pour toute demande de le hacker.com la racine du domaine, indépendamment de tout sous-domaine des préfixes qui pourrait être ajouté. Dans ce cas, l'autorité serait de signer un certificat pour bestbank.hacker.com ignorant le sous-domaine bestbank et la signature basée sur la racine du domaine hacker.com, Moulinsart dit.

Dans le même temps, les navigateurs avec la faille qu'il décrit lire x.509 certificats jusqu'à ce qu'ils atteignent un caractère nul, comme 0. Si tel navigateur lit bestbank.com\0hacker.com il serait d'arrêter la lecture à l'0 et interpréter le certificat d'authentification du domaine racine bestbank.com le chercheur dit. Les navigateurs sans faille identifier correctement le domaine racine et signer ou ne pas signer.

Un attaquant pourrait exploiter cette faiblesse par la mise en place d'un man-in-the-middle attack et de l'interception des requêtes à partir vulnérables navigateurs pour configurer les connexions SSL. Si l'attaquant serveur choisit une demande de bestbank.com, il peut répondre avec un authentifié x.509 certificat de bestbank.com\0hacker.com. L'vulnérables navigateur d'interpréter le certificat comme étant autorisé pour bestbank.com et configurer une session sécurisée avec l'attaquant du serveur. L'utilisateur qui a demandé une session avec bestbank serait naturellement supposer que la connexion établie a été à bestbank.

Une fois que le lien est fait, le serveur malveillant peut poser pour les mots de passe et identifiants, les attaquants peuvent exploiter pour percer des utilisateurs bestbank comptes et de manipuler des fonds, par exemple, de Moulinsart dit.

Dans certains cas, les attaquants peuvent créer ce que Moulinsart appelle les certificats wildcard qui permettra d'authentifier un nom de domaine. Ces certificats d'utiliser un astérisque comme le sous-domaine, suivi par un caractère null suivie par une marque de domaine racine. Une vulnérabilité du navigateur qui a initié une session SSL avec bestbank.com interpréter un certificat marqués d'un *\0hacker.com comme venant de bestbank.com parce que ce serait accepter automatiquement les * comme légitime pour n'importe quel domaine racine.

Cela est dû à "une idiosyncrasie dans le Réseau des Services de Sécurité (NSS) correspond à des caractères génériques," château de Moulinsart est dit dans un document décrivant en détail l'attaque. Un tel caractère générique correspondent à n'importe quel domaine, dit-il.

Les différences entre ce que les utilisateurs voient sur leurs écrans quand ils ont frappé le site qu'ils visent et quand ils ont frappé un attaquant de se moquer de site peut être subtile. L'Url dans le navigateur révèlent que le mauvais site a été atteint, mais de nombreux utilisateurs ne pas vérifier, de Moulinsart dit.

Microsoft porte-parole dit que Internet Explorer 8 faits saillants de domaines afin de les rendre visuellement plus évident, imprimé en noir, alors que le reste de l'URL est gris. "Internet Explorer 8 amélioration de la barre d'adresse permet aux utilisateurs de s'assurer qu'ils fournissent des renseignements personnels uniquement à des sites de confiance," un porte-parole de Microsoft a déclaré dans un e-mail.

Château de moulinsart, dit le caractère null de vulnérabilité n'est pas limitée aux navigateurs. "[P]lenty de non-navigateurs Web sont également vulnérables. Outlook, par exemple, qui utilise le protocole SSL afin de protéger vos login/mot de passe lors de la communication SMTP et POP3/IMAP. Il y a probablement de nombreuses autres Windows Vpn SSL, les clients de chat, etc. qui sont tout aussi vulnérables," il a dit dans un e-mail.
Accueil>news du Monde>Microsoft Internet Explorer SSL trou de sécurité s'attarde
IMPORTANT! L'installation de l'ordinateur à des outils de surveillance sur les ordinateurs que vous ne possédez pas ou n'avez pas la permission de suivre peuvent violer locales, de l'état ou la loi fédérale.
Suggest translation