This is a machine translation. The original page (in English) is available here.
Windows
Mac OS
Mobile

Ultime notizie: 12 novembre, 2016 - Abbiamo trovato un nuovo non rilevabile Registratore di tasti per voi. Feed RSS

Home>notizie dal Mondo>Microsoft Internet Explorer SSL buco di sicurezza indugia

AnyKeylogger per Mac

Microsoft Internet Explorer SSL buco di sicurezza indugia

Microsoft ancora non riconosce una debolezza nel suo browser Internet Explorer che è stato evidenziato sette settimane fa e permette agli attaccanti di dirottare che sono supposti per essere sicuro sessioni Web.

La società dice che è ancora valutando se la debolezza esiste, ma Apple, che basa la sua versione di Safari per Windows il browser di Microsoft codice, dice che Safari per Windows è la debolezza e il codice di Microsoft è la ragione. Se Microsoft non risolve il problema, Apple non può risolvere da sola, Apple dice. Apple ha risolto il problema di Safari per Mac.

Cappello nero più famoso di incidenti: un quiz

"Microsoft sta attualmente esaminando una possibile vulnerabilità in Microsoft Windows. Una volta che la nostra indagine si è conclusa, prenderemo provvedimenti per proteggere i clienti," un portavoce di Microsoft ha detto via e-mail. "Non avremo più da condividere in questo momento."

La debolezza può essere sfruttata dall'uomo-in-the-middle aggressori che ingannare il browser per rendere le sessioni SSL con il server malevoli, piuttosto che il server legittimi gli utenti intendono connettersi.

Le attuali versioni di Safari per Mac, Firefox e Opera di affrontare il problema, che è legato a come browser per leggere le x.509 certificati che vengono utilizzati per autenticare le macchine coinvolte nella configurazione di SSL/TLS sessioni.

Nel mese di luglio due colloqui separati presentati da ricercatori Dan Kaminski e Moxie Marlinspike alla Black Hat Conference avvertiti su come la vulnerabilità può essere sfruttata utilizzando ciò che essi chiamano null-prefisso attacchi. Gli attacchi coinvolgono ottenere il certificato di autorità per firmare i certificati per i nomi a dominio assegnati ai legittimi nome di dominio titolari e rendendo vulnerabili i browser interpretano i certificati come essere autorizzato per diversi domain-name titolari.

Per esempio, qualcuno potrebbe registrare www.hacker.com. In molti x.509 implementazioni il certificato di autorità di firmare i certificati per qualsiasi richiesta dalla hacker.com dominio principale, indipendentemente da eventuali sub-prefissi di dominio che potrebbe essere aggiunta. In questo caso, l'autorità di firmare un certificato per bestbank.hacker.com ignorando il sub-dominio bestbank e firma basata sul dominio principale hacker.com, Marlinspike, dice.

Allo stesso tempo, il browser con il difetto che egli descrive leggere x.509 certificati fino al raggiungimento di un carattere null, come 0. Se un browser legge bestbank.com\0hacker.com avrebbe smesso di leggere a 0 e interpretare il certificato di autenticazione del dominio principale bestbank.com il ricercatore dice. Browser senza il difetto di identificare correttamente il root del dominio e del segno o non segno basati su di esso.

Un utente malintenzionato potrebbe sfruttare la debolezza per l'impostazione di un man-in-the-middle attack e di intercettare le richieste vulnerabili browser per impostare le connessioni SSL. Se l'attacco server afferra una richiesta di bestbank.com potrebbe rispondere con un autenticata x.509 certificato da bestbank.com\0hacker.com. Vulnerabile browser interpreta il certificato di autorizzazione per bestbank.com e di impostare una sessione sicura con attacco server. L'utente che ha richiesto una sessione con bestbank, naturalmente, assumere la connessione stabilita era di bestbank.

Una volta che il collegamento è fatto, il server maligno può chiedere la password e utente identificazioni che gli hacker possono sfruttare a rompere gli utenti' bestbank account e manipolare i fondi, per esempio, Marlinspike, dice.

In alcuni casi gli aggressori possono creare quello che Marlinspike chiama jolly certificati di autenticazione qualsiasi nome di dominio. Questi certificati utilizzare un asterisco come sub-dominio seguito da un carattere null seguita da un registrato il dominio principale. Un vulnerabili browser che ha avviato una sessione SSL con bestbank.com vorresti interpretare un certificato contrassegnati con *\0hacker.com come provenienti da bestbank.com perché sarebbe accettare automaticamente i * come legittimo per qualsiasi dominio principale.

Questo è dovuto a "una idiosincrasia nel modo in Servizi di Sicurezza di Rete (NSS) partite jolly" Marlinspike, dice in un documento che precisi l'attacco. Un jolly si adattano a qualsiasi dominio, egli dice.

Le differenze tra ciò che gli utenti vedono sui loro schermi, quando hanno colpito il sito si sta puntando e quando ha colpito un utente malintenzionato finto sito può essere sottile. La Url nel browser avrebbe rivelato che il sito sbagliato è stato raggiunto, ma molti utenti non verificare che, Marlinspike, dice.

Un portavoce di Microsoft dice che Internet Explorer 8 evidenzia domini per renderle più evidenti, stampata in nero, mentre il resto dell'URL è grigio. "Internet Explorer 8 è migliorato indirizzo di bar aiuta gli utenti più facilmente garantire che essi forniscono informazioni personali solo i siti di fiducia," un portavoce di Microsoft ha detto in una e-mail.

Marlinspike dice il carattere null vulnerabilità non è limitato al browser. "[P]lenty di non-Web, i browser sono anche vulnerabili. Outlook, per esempio, utilizza il protocollo SSL per proteggere il tuo login/password quando si comunica tramite SMTP e POP3/IMAP. Probabilmente ci sono innumerevoli altri basati su Windows SSL Vpn, client di chat, etc. che sono tutti vulnerabili", ha detto in una e-mail.
Home>notizie dal Mondo>Microsoft Internet Explorer SSL buco di sicurezza indugia
IMPORTANTE! Computer di installazione di strumenti di monitoraggio sui computer che non possiedono o non hai il permesso di monitorare può violare locali, statali o federali.
Suggest translation