*
 
AfterDawn: IT-alan uutiset

Uusi haavoittuvuus vaarantaa suojatut selainistunnot

Kirjoittaja Janne Häyrynen @ 7.9.2012 10:52 Kommentteja (7)

Uusi haavoittuvuus vaarantaa suojatut selainistunnot Kaspersky Labin uutispalvelu threatpost.com kertoo, että kaksi tietoturvatutkijaa on paljastanut hyökkäyksen, jonka avulla on mahdollista kaapata suojattu HTTPS-istunto.
Yleisimmissä selaimissa käytetyn SSL/TLS-salakirjoitusstandardin kaikki tämänhetkiset versiot sisältävät ominaisuuden, jonka kautta on mahdollista avata salakirjoitetut, selainistuntoja koskevat evästeet. Evästeiden avulla hyökkääjän on mahdollista kirjautua tietyissä tapauksissa uudelleen suojatulle verkkosivulle uhrin tunnusta käyttäen. Haavoittuvuus toimii riippumatta evästeen salakirjoitukseen käytetystä algoritmista.

Uusi haavoittuvuus toimii, kun hyökkääjä ensin suorittaa JavaScript-koodia selaimessa ja pääsee tarkkailemaan käyttäjän HTTPS-liikennettä, mutta periaatteessa myös yksinkertainen HTML-sivu voi toimia vastaavalla tavalla. Tällä hetkellä sekä Firefox- että Chrome-selaimet ovat hyökkäykselle alttiita. Selaimiin on kehitetty korjaukset, jotka julkaistaan lähiviikkoina.

Tietoturvatutkijat Juliano Rizzo ja Thai Duong aikovat kertoa CRIME:ksi nimetyn haavoittuvuuden yksityiskohdista myöhemmin tässä kuussa. Samat tutkijat paljastivat viime vuonna vastaavankaltaisen BEAST-hyökkäyksen (Browser Exploit Against SSL/TLS), joka myös koski evästeiden avaamista suojatuissa istunnoissa, esimerkiksi kauppa- ja pankkipalveluissa.

Tägit: SSL
Edellinen Seuraava  

7 kommenttia

17.9.2012 11:12

No ei tullut yllätyksenä, mikään systeemi ei ole täydellinen.

"nyt kaikki äkkiä poistamaan nettiselaimet koneesta"

Mutta vitsit sikseen, kyllä tuo vakava haavoittuvuus on.

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 7.9.2012 @ 11:14

27.9.2012 15:36

Lainaus, alkuperäisen viestin kirjoitti G0lden_Kebab:
"nyt kaikki äkkiä poistamaan nettiselaimet koneesta"
Niinhän tässä uutisessa pitäisi lukea, mutta AfterDawn jätti sen maininnan vain bisnessyistä pois. ;-)

BTW. Uusi toimittaja bongattu. Hyvältä näyttää nämä uutiset. :-)
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 7.9.2012 @ 15:45

BSOD is a registered trademark of Microsoft Corporation | Windowsin lähdekoodi

39.9.2012 10:19

Jo jonkun aikaa on ohjeistettu, että esim. pankkiasiointiin kannattaa käyttää kokonaan eri selainta, ja tavalliseen selailuun jotain toista. Siinä jää juuri nämä odottamaan jäävät kikkareet nuolemaan näppejään kun selain vaihtuu.



410.9.2012 7:05

^ Paitsi että aina ei riitä sekään. Joku kikkare voi hyvinkin saastuttaa kaikki selaimet, niin kuin tässäkin taloudessa kävi jokin aika sitten. Se vika on lähes aina penkin ja monitorin välissä, ja jos korvien välissä tuulee niin virustorjuntakaan ei mahda mitään.

510.9.2012 9:52

Meillä ei käytetä pankkiasiointiin varattua selainta missään muussa :)

Ja totta toki, sille ei voi mitään jos joku pilaa itse asiansa pöydän ja näytön välillä, mutta paljon on meilläkin tehty sen eteen ettei näin kävisi (mm. normaali tili käytössä, selaimet EMETin alla jne.).



610.9.2012 22:21

Entäs Opera?

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 10.9.2012 @ 22:21

Jos joskus jostain jotain mutta kun ei koskaan mistään mitään.

711.9.2012 11:41

Selain siinä missä muutkin?



Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

Nokia 8:sta tulee uusi versio – Tuplasti enemmän tallennustilaa Nokia 8:sta tulee uusi versio – Tuplasti enemmän tallennustilaa (26.9.2017 18:07)
Elokuussa tuotemallistoaan lippulaivapuhelimella täydentänyt HMD Global on esitellyt uuden version Nokia 8:sta. Uutukaisesta löytyy kuusi gigatavua käyttömuistia ja 128 gigatavua tallennusmuistia. ....
Itsestään ajavista autoista älykaupunkiin – Nvidian uusi Metropolis-alusta kerää uusia asiakkaita Itsestään ajavista autoista älykaupunkiin – Nvidian uusi Metropolis-alusta kerää uusia asiakkaita (26.9.2017 11:57)
Nvidia on ratsastanut tekoälyteknologioiden kehityksen kärjessä jo useamman vuoden ajan. Näkyvin esimerkki tekoälyn ja koneoppimisen saavutuksista on autojen itsenäinen ajaminen, mutta liikenteestä ....
Snapchatiin taas uusia kikkoja – Tällaisia kuvia saat uusilla taivasfilttereillä Snapchatiin taas uusia kikkoja – Tällaisia kuvia saat uusilla taivasfilttereillä (26.9.2017 10:45)
Laajennetun todellisuuden mahdollisuuksia ehkä kaikkein rohkeimmin ja kattavimmin on lähtenyt kokeilemaan Snap, jonka Snapchat-sovelluksella otettuja kuvia on voinut ehostaa erilaisilla kasvofilttereille ....
Apple aloitti seurannan – Kerää selaustietoja Safarin käyttäjistä Apple aloitti seurannan – Kerää selaustietoja Safarin käyttäjistä (26.9.2017 10:14)
Apple on lisännyt Safari-selaimeensa uusia tietoturvaominaisuuksia, jotka suojaavat käyttäjiä mainostajien tiedonkeruulta. Samaan aikaan Apple on itse alkanut kerätä tietoa käyttäjien selaamisesta. ....
WhatsAppin toiminta estettiin – Kiina hyökkäsi pikaviestipalvelua vastaan WhatsAppin toiminta estettiin – Kiina hyökkäsi pikaviestipalvelua vastaan (26.9.2017 09:56)
Kiina on estänyt WhatsApp-pikaviestimen toiminnan maassa, kertoo The New York Times. Estotoimenpiteiden arvellaan liittyvän tavalla tai toisella kuukauden päästä järjestettäviin Kiinan kommunistisen ....
1 kommentti

Uutisarkisto