Uusi haavoittuvuus vaarantaa suojatut selainistunnot

7. September, 2012 10:52 7 kommenttia

Kaspersky Labin uutispalvelu threatpost.com kertoo, että kaksi tietoturvatutkijaa on paljastanut hyökkäyksen, jonka avulla on mahdollista kaapata suojattu HTTPS-istunto.

Yleisimmissä selaimissa käytetyn SSL/TLS-salakirjoitusstandardin kaikki tämänhetkiset versiot sisältävät ominaisuuden, jonka kautta on mahdollista avata salakirjoitetut, selainistuntoja koskevat evästeet. Evästeiden avulla hyökkääjän on mahdollista kirjautua tietyissä tapauksissa uudelleen suojatulle verkkosivulle uhrin tunnusta käyttäen. Haavoittuvuus toimii riippumatta evästeen salakirjoitukseen käytetystä algoritmista.

Uusi haavoittuvuus toimii, kun hyökkääjä ensin suorittaa JavaScript-koodia selaimessa ja pääsee tarkkailemaan käyttäjän HTTPS-liikennettä, mutta periaatteessa myös yksinkertainen HTML-sivu voi toimia vastaavalla tavalla. Tällä hetkellä sekä Firefox- että Chrome-selaimet ovat hyökkäykselle alttiita. Selaimiin on kehitetty korjaukset, jotka julkaistaan lähiviikkoina.

Tietoturvatutkijat Juliano Rizzo ja Thai Duong aikovat kertoa CRIME:ksi nimetyn haavoittuvuuden yksityiskohdista myöhemmin tässä kuussa. Samat tutkijat paljastivat viime vuonna vastaavankaltaisen BEAST-hyökkäyksen (Browser Exploit Against SSL/TLS), joka myös koski evästeiden avaamista suojatuissa istunnoissa, esimerkiksi kauppa- ja pankkipalveluissa.

7 KOMMENTTIA

G0lden_Kebab7. September, 2012 11:121/7

No ei tullut yllätyksenä, mikään systeemi ei ole täydellinen.

"nyt kaikki äkkiä poistamaan nettiselaimet koneesta"

Mutta vitsit sikseen, kyllä tuo vakava haavoittuvuus on.

ep_7. September, 2012 15:362/7

Lainaus, alkuperäisen viestin kirjoitti G0lden_Kebab:
"nyt kaikki äkkiä poistamaan nettiselaimet koneesta"

Niinhän tässä uutisessa pitäisi lukea, mutta AfterDawn jätti sen maininnan vain bisnessyistä pois. ;-)

BTW. Uusi toimittaja bongattu. Hyvältä näyttää nämä uutiset. :-)

yamaneko9. September, 2012 10:193/7

Jo jonkun aikaa on ohjeistettu, että esim. pankkiasiointiin kannattaa käyttää kokonaan eri selainta, ja tavalliseen selailuun jotain toista. Siinä jää juuri nämä odottamaan jäävät kikkareet nuolemaan näppejään kun selain vaihtuu.

sammal10. September, 2012 7:054/7

^ Paitsi että aina ei riitä sekään. Joku kikkare voi hyvinkin saastuttaa kaikki selaimet, niin kuin tässäkin taloudessa kävi jokin aika sitten. Se vika on lähes aina penkin ja monitorin välissä, ja jos korvien välissä tuulee niin virustorjuntakaan ei mahda mitään.

yamaneko10. September, 2012 9:525/7

Meillä ei käytetä pankkiasiointiin varattua selainta missään muussa :)

Ja totta toki, sille ei voi mitään jos joku pilaa itse asiansa pöydän ja näytön välillä, mutta paljon on meilläkin tehty sen eteen ettei näin kävisi (mm. normaali tili käytössä, selaimet EMETin alla jne.).

Meizuman10. September, 2012 22:216/7

Entäs Opera?

yamaneko11. September, 2012 11:417/7

Selain siinä missä muutkin?

7 KOMMENTTIA

TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT