This is a machine translation. The original page (in English) is available here.
Окна
Мак ОС
Мобильный

Последние новости: 12 ноября 2016 - мы нашли новый обнаружить клавиатурных шпионов для вас. RSS-канал

Главная>Мировые новости>Майкрософт Интернет Эксплорер безопасности SSL отверстие задерживается

AnyKeylogger для Mac

Майкрософт Интернет Эксплорер протокол SSL дыра в безопасности задерживается

Microsoft все еще не признаете слабость в его интернет-браузер Explorer, что было отмечено семь недель назад и позволяет злоумышленникам захватить то, что не должно быть безопасных веб-сеансов.

Компания говорит, что пока не определил, является ли слабость существует, но Apple, которая строит свою Safari для Windows браузер на Microsoft код, говорит, что Safari для Windows была слабость и Microsoft код является причиной. Если Microsoft не устранить проблему, Apple не может восстановить ее самостоятельно, Apple говорит. Компания Apple Исправлена проблема для сафари на Маках.

Самых громких инцидентов черная шляпа: викторина

"Microsoft в настоящее время расследуют возможную Уязвимость в Windows. Как только расследование завершится, мы будем принимать соответствующие меры, чтобы защитить клиентов", - сказал представитель Microsoft по электронной почте. "Мы не будем иметь больше, чтобы поделиться в это время."

Слабость может быть использовано человек-в-середине злоумышленников, заставить браузер делать сеансы SSL с вредоносного сервера, а не законные пользователи намерены подключиться.

Текущие версии Safari для Mac, Firefox и Opera решению проблемы, который связаны с тем, как браузеры читают х.509 сертификаты, используемые для проверки подлинности машины, участвующие в настройке SSL/TLS-сессий.

В июле две отдельные переговоры представлены исследователями Дэн Камински и Мокси фамильный герб семьи на конференции хакеров предупредил о том, как Уязвимость может быть использована, используя то, что они называют нулевым префиксом атак. Атаки предполагает получение сертификации для подписи сертификатов на доменные имена, присвоенные законным владельцам доменных имен и делает уязвимыми браузерами интерпретировать сертификатов уполномоченными по разным владельцам доменных имен.

Например, кто-то может зарегистрировать www.hacker.com. Во многих х.509 реализаций центр сертификации подписывает сертификаты для любого запроса от корневого домена hacker.com независимо от любого суб-домена префиксы, которые могут быть присоединены. В этом случае орган будет подписать сертификат для bestbank.hacker.com игнорирование суб-домен уровня и подписи, основанные на корневого домена hacker.com, даже если вы думаете, говорит.

В то же время, браузеры с дефектоскопом он описывает чтение х.509 сертификаты, пока они не достигнут нулевой символ, таким как 0. Если такой браузер читает bestbank.com\0hacker.com он хотел прекратить чтение на 0 и интерпретировать сертификат подлинности корневого домена bestbank.com исследователь говорит. Браузеры без изъяна правильно определить корневой домен и подписать или не подписать на его основе.

Злоумышленник может использовать эту слабость путем создания человек-в-середине атаки и перехвата запросов из уязвимых браузеров, чтобы установить SSL-соединений. Если атакующий сервер выбирает с просьбой bestbank.com он может реагировать с аутентификацией х.509 сертификат от bestbank.com\0hacker.com. Уязвимый браузер будет интерпретировать сертификат уполномоченными на bestbank.com и установить безопасный сеанс с атакующим сервер. Пользователь, который запросил сессии с уровня, естественно предположить, установленная связь была до уровня.

Как только связь сделана, вредоносный сервер может запросить пароли и идентификаторы пользователей, которые злоумышленники могут использовать для взлома уровня учетных записей пользователей и манипулировать средств, например, фамильный герб семьи говорит.

В некоторых случаях злоумышленники могут создать то, что даже если вы думаете называет универсальные сертификаты, которые будут проверять подлинность любого доменного имени. Эти сертификаты использовать звездочку в качестве суб-домена, за которым следует символ NULL с последующим регистрацию корневого домена. Уязвимый браузер, который инициировал сеанс SSL с bestbank.com будет толковать сертификат, отмеченные *\0hacker.com как bestbank.com потому что это автоматически принимаете * в качестве законных для любого корневого домена.

Это связано с "идиосинкразия на пути обеспечения сетевой безопасности (СНБ) соответствует шаблону," даже если вы думаете, - говорится в документ с подробным описанием атаки. Такой шаблон будет соответствовать любой домен, говорит он.

Разница между тем, что пользователи видят на своих экранах, когда они попадут на сайт, они стремятся и когда они попали в макет сайта злоумышленника могут быть тонкими. URL-адреса в браузере показывает, что не тот сайт, но многие пользователи не проверять, что, даже если вы думаете говорит.

Представитель Microsoft заявил, что Интернет Эксплорер 8 моментов доменов, чтобы сделать их более визуально очевидно, напечатанный в черный, а остальная часть URL-адреса-это серый. "Улучшенная адресная строка интернет Эксплорер 8 помогает пользователям легко убедиться, что они обеспечивают личную информацию только на сайтах, которым они доверяют," представитель Microsoft сказал в электронной почте.

Даже если вы думаете говорит нулевая Уязвимость персонажа не ограничен браузерах. "[П]ленты веб-браузеры уязвимы. Outlook, например, использует SSL, чтобы защитить ваши логин/пароль при связи по протоколам SMTP и POP3 и IMAP. Есть, вероятно, множество других окон SSL на основе виртуальных частных сетей, чат-клиенты и т. д. что все уязвимы", - сказал он в электронной почте.
Главная>Мировые новости>Майкрософт Интернет Эксплорер безопасности SSL отверстие задерживается
Важно! Установка средств мониторинга компьютеров Вы не владеете или не имеете разрешения для монитора может нарушить местным, государственным или Федеральным законом.
Предложить перевод