This is a machine translation. The original page (in English) is available here.
Окна
Мак ОС
Мобильный

Последние новости: 19 сентября, 2016 - мы добавили новые категории для контроля испытаний продукции: микрофон и веб-камера, запись и т. д... RSS канал

Главная>новости мира>Майкрософт Интернет Эксплорер безопасности SSL отверстие задерживается

AnyKeylogger для Mac

Майкрософт Интернет Эксплорер протокол SSL дыра в безопасности задерживается

Microsoft все еще не признаете слабость в его интернет-браузер Explorer, что было отмечено семь недель назад и позволяет злоумышленникам захватить то, что не должно быть безопасных веб-сеансов.

Компания говорит, что это рассматривает, каким образом слабость существует, но Apple, на которых основывает свои Safari для Windows браузер на Microsoft код, говорит, что Safari для Windows была слабость и Microsoft код причина. Если Microsoft не устранить проблему, Apple не может восстановить ее самостоятельно, Apple говорит. Компания Apple Исправлена проблема для сафари на Маках.

Наиболее известных инцидентов черная шляпа: тест

"Microsoft в настоящее время расследует уязвимости в Windows. Как только расследование завершится, мы будем принимать соответствующие меры, чтобы защитить клиентов", - сказал представитель Microsoft по электронной почте. "Мы не будем иметь больше, чтобы поделиться в это время."

Слабость может быть использовано человек-в-середине злоумышленников, заставить браузер делать сеансы SSL с вредоносного сервера, а не законные пользователи намерены подключиться.

Текущие версии Safari для Mac, Firefox и Opera решению проблемы, который связаны с тем, как браузеры прочитать х.509 сертификаты, используемые для проверки подлинности машины, участвующие в настройке SSL/TLS-сессий.

В июле две отдельные переговоры были представлены исследователями Дэн Камински и Мокси фамильный герб семьи на конференции хакеров предупредил о том, как Уязвимость может быть использована с помощью того, что они называют нулевым префиксом атак. Атаки предполагает получение сертификации для подписи сертификатов на доменные имена, присвоенные законным владельцам доменных имен и делает уязвимыми браузерами, интерпретировать сертификатов уполномоченными по разным владельцам доменных имен.

Например, кто-то может зарегистрировать www.hacker.com. Во многих х.509 реализаций центр сертификации подписывает сертификаты на любую просьбу корневого домена hacker.com независимо от каких-либо суб-домен префиксы, которые могут быть присоединены. В этом случае, власть будет подписывать сертификат на bestbank.hacker.com игнорирование суб-домен уровня и подписи, основанные на корневого домена hacker.com, даже если вы думаете говорит.

В то же время, браузеры с изъяном он описывает чтение х.509 сертификаты, пока они не достигнут нулевого символа, например 0. Если такой браузер читает bestbank.com\0hacker.com он хотел прекратить чтение на 0 и интерпретировать сертификат подлинности корневого домена bestbank.com исследователь говорит. Браузеры без изъяна правильно определить корневой домен и подписать или не подписать на его основе.

Злоумышленник может использовать эту слабость путем создания человек-в-середине атаки и перехвата запросов от браузеров уязвимы для настройки подключения SSL. Если атакующий сервер выбирает с просьбой bestbank.com он может реагировать с аутентификацией х.509 сертификат bestbank.com\0hacker.com. Уязвимый браузер будет интерпретировать сертификат уполномоченными на bestbank.com и настройка безопасного соединения с атакующим сервер. Пользователь, который запросил сессии с уровня, естественно предположить, соединение было уровня.

Как только связь сделана, злонамеренный сервер может запросить пароли и идентификаторы пользователей, которые злоумышленники могут использовать для взлома уровня учетных записей пользователей и манипулировать средств, например, фамильный герб семьи говорит.

В некоторых случаях злоумышленники могут создать то, что даже если вы думаете называет универсальные сертификаты, которые будут проверять подлинность доменного имени. Эти сертификаты использовать звездочку в качестве суб-домена, за которым следует символ NULL с последующим регистрацию корневого домена. Уязвимый браузер, который инициировал сеанс SSL с bestbank.com будет толковать сертификат, отмеченные *\0hacker.com как bestbank.com потому что это будет автоматически принимаете * в качестве легитимных для любого корневого домена.

Это связано с "идиосинкразия на пути обеспечения сетевой безопасности (СНБ) соответствует шаблону," фамильный герб семьи говорит в статье подробно атаки. Такой шаблон будет соответствовать любой домен, говорит он.

Разница между тем, что пользователи видят на своих экранах, когда они попадут на сайт, они стремятся и когда они попали макет сайта злоумышленника могут быть тонкими. URL-адреса в браузере показывает, что не тот сайт, но многие пользователи не проверять, что, даже если вы думаете говорит.

Представитель Microsoft заявил, что Интернет Эксплорер 8 моментов доменов, чтобы сделать их визуально более очевидным, напечатанный в черный, а остальная часть URL-адреса серые. "Улучшенная адресная строка интернет Эксплорер 8 помогает пользователям легко убедиться, что они обеспечивают личную информацию только на сайтах, которым они доверяют," представитель Microsoft сказал в электронной почте.

Даже если вы думаете, говорит нулевая Уязвимость персонажа не ограничен браузерах. "[П]ленты веб-браузеры уязвимы. Например, Outlook, использует протокол SSL, чтобы защитить ваши логин/пароль при связи по протоколам SMTP и POP3 и IMAP. Есть, вероятно, множество других окон SSL на основе виртуальных частных сетей, чат-клиенты и т. д. это все уязвимы", - сказал он в электронной почте.
Главная>новости мира>Майкрософт Интернет Эксплорер безопасности SSL отверстие задерживается
Важно! Установка средств мониторинга компьютеров Вы не владеете или не имеете разрешение монитора может нарушить местным, государственным или Федеральным законом.
Предложить перевод