Weitere Löcher finden sich in Web-SSL-security-Protokoll
Auf der Black Hat-Konferenz in Las Vegas am Donnerstag, den Forscher enthüllt eine Reihe von Angriffen, die verwendet werden könnten, um Kompromisse sicheren Verkehr zwischen Web-Seiten und Browsern.
Diese Art des Angriffs könnte es einem Angreifer stehlen Passwörter, entführen Sie ein Online-banking-Sitzung oder sogar push-out ein Firefox-browser-update, enthalten bösartigen code, die Forscher sagte.
Die Probleme liegen in der Art und Weise, dass viele Browser SSL implementiert haben, und auch in der X. 509 public-key-Infrastruktur-system, das verwendet wird, um zu verwalten die digitalen Zertifikate von SSL verwendete, um festzustellen, ob eine Website vertrauenswürdig ist.
Ein Sicherheits-Forscher und nannte sich Moxie Marlinspike zeigte einen Weg, der das abfangen von SSL-Datenverkehr über das, was er fordert eine null-Terminierung-Zertifikat. Zu machen, seinen Angriff zu arbeiten, Marlinspike, muss zuerst seine software auf ein lokales Netzwerk. Einmal installiert, wird es Flecken von SSL-Datenverkehr und stellt seine null-Terminierung Zertifikat, um das abfangen von Kommunikationen zwischen dem client und dem server. Diese Art des man-in-the-middle-Angriff ist nicht nachweisbar, sagte er.
Marlinspike Angriff ist bemerkenswert ähnlich zu anderen gemeinsamen bekannten Angriffe wie SQL-injection-Angriffe, die sendet speziell gestaltete Daten an das Programm, in der Hoffnung, trickst es, etwas zu tun, sollte es normalerweise nicht tun. Er fand, dass, wenn er erstellt Zertifikate für seine eigene Internet-Domäne, die null-Zeichen enthalten-oft dargestellt mit einem \0 -- einige Programme wäre falsch, die Zertifikate.
Das ist, weil einige Programme nicht Lesen von text, wenn Sie sehen, ein null-Zeichen. So ein Zertifikat ausgestellt www.paypal.com\0.thoughtcrime.org möglicherweise Lesen Sie, wie die Zugehörigkeit zu www.paypal.com.
Das problem ist weit verbreitet, Marlinspike, sagte, Auswirkungen auf Internet Explorer, VPN (virtual private network) - software, e-mail-clients und instant-messaging-software, und Firefox version 3.
Noch schlimmer zu machen, Forscher Dan Kaminsky und Len Sassaman berichtet, dass Sie entdeckt hatten, dass eine große Anzahl von Web-Programmen abhängig sind ausgestellte Zertifikate verwenden eine veraltete kryptografische Technologie namens MD2, die schon lange als unsicher. MD2 hat nicht tatsächlich schon geknackt, aber es könnte gebrochen werden innerhalb weniger Monate von einem entschlossenen Angreifer, Kaminsky sagte.
Der MD2 Algorithmus verwendet wurde vor 13 Jahren von VeriSign, um self-sign - "einer der Kern-root-Zertifikate in jedem browser auf dem Planeten", Kaminsky sagte.
VeriSign gestoppt signing-Zertifikate mit MD2 im Mai, sagt Tim Callan, vice president of product marketing bei VeriSign.
Aber, "große Zahl von Websites verwenden diesen Stamm, so können wir nicht wirklich töten, oder wir brechen das Web," Kaminsky sagte.
Software-Hersteller können sagen jedoch Ihre Produkte nicht Vertrauen MD2-Zertifikate; Sie können auch das Programm Ihrer Produkte nicht anfällig sein für die null-Terminierung Angriff. Bis heute allerdings, Firefox 3.5 ist der einzige browser, der Patch der null-Terminierung Problem, sagte der Forscher.
Dies ist das zweite mal im letzten halben Jahr, dass SSL hat unter die Lupe genommen. Ende letzten Jahres, fanden die Forscher eine Möglichkeit zu schaffen, ein Schelm Zertifizierungsstelle, das könnte wiederum die Frage gefälschten SSL-Zertifikaten, die würde vertraut werden mit jedem browser.
Kaminsky und Sassaman sagen, es gibt eine Reihe von Problemen in der Art und Weise SSL-Zertifikate ausgestellt werden, die machen Sie unsicher. Alle Forscher einig, dass die x.509-system, das verwendet wird zum verwalten von Zertifikaten für SSL ist veraltet und muss behoben werden.
Autor: Keylogger.Org Team