*
 
AfterDawn: IT-alan uutiset

Uusi haavoittuvuus vaarantaa suojatut selainistunnot

Kirjoittaja Janne Häyrynen @ 7.9.2012 10:52 Kommentteja (7)

Uusi haavoittuvuus vaarantaa suojatut selainistunnot Kaspersky Labin uutispalvelu threatpost.com kertoo, että kaksi tietoturvatutkijaa on paljastanut hyökkäyksen, jonka avulla on mahdollista kaapata suojattu HTTPS-istunto.
Yleisimmissä selaimissa käytetyn SSL/TLS-salakirjoitusstandardin kaikki tämänhetkiset versiot sisältävät ominaisuuden, jonka kautta on mahdollista avata salakirjoitetut, selainistuntoja koskevat evästeet. Evästeiden avulla hyökkääjän on mahdollista kirjautua tietyissä tapauksissa uudelleen suojatulle verkkosivulle uhrin tunnusta käyttäen. Haavoittuvuus toimii riippumatta evästeen salakirjoitukseen käytetystä algoritmista.

Uusi haavoittuvuus toimii, kun hyökkääjä ensin suorittaa JavaScript-koodia selaimessa ja pääsee tarkkailemaan käyttäjän HTTPS-liikennettä, mutta periaatteessa myös yksinkertainen HTML-sivu voi toimia vastaavalla tavalla. Tällä hetkellä sekä Firefox- että Chrome-selaimet ovat hyökkäykselle alttiita. Selaimiin on kehitetty korjaukset, jotka julkaistaan lähiviikkoina.

Tietoturvatutkijat Juliano Rizzo ja Thai Duong aikovat kertoa CRIME:ksi nimetyn haavoittuvuuden yksityiskohdista myöhemmin tässä kuussa. Samat tutkijat paljastivat viime vuonna vastaavankaltaisen BEAST-hyökkäyksen (Browser Exploit Against SSL/TLS), joka myös koski evästeiden avaamista suojatuissa istunnoissa, esimerkiksi kauppa- ja pankkipalveluissa.

Tägit: SSL
Edellinen Seuraava  

7 kommenttia

17.9.2012 11:12

No ei tullut yllätyksenä, mikään systeemi ei ole täydellinen.

"nyt kaikki äkkiä poistamaan nettiselaimet koneesta"

Mutta vitsit sikseen, kyllä tuo vakava haavoittuvuus on.

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 7.9.2012 @ 11:14

- Always use protection. Safe browsing!

27.9.2012 15:36

Lainaus, alkuperäisen viestin kirjoitti G0lden_Kebab:
"nyt kaikki äkkiä poistamaan nettiselaimet koneesta"
Niinhän tässä uutisessa pitäisi lukea, mutta AfterDawn jätti sen maininnan vain bisnessyistä pois. ;-)

BTW. Uusi toimittaja bongattu. Hyvältä näyttää nämä uutiset. :-)
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 7.9.2012 @ 15:45

BSOD is a registered trademark of Microsoft Corporation | Windowsin lähdekoodi

39.9.2012 10:19

Jo jonkun aikaa on ohjeistettu, että esim. pankkiasiointiin kannattaa käyttää kokonaan eri selainta, ja tavalliseen selailuun jotain toista. Siinä jää juuri nämä odottamaan jäävät kikkareet nuolemaan näppejään kun selain vaihtuu.



410.9.2012 7:05

^ Paitsi että aina ei riitä sekään. Joku kikkare voi hyvinkin saastuttaa kaikki selaimet, niin kuin tässäkin taloudessa kävi jokin aika sitten. Se vika on lähes aina penkin ja monitorin välissä, ja jos korvien välissä tuulee niin virustorjuntakaan ei mahda mitään.

510.9.2012 9:52

Meillä ei käytetä pankkiasiointiin varattua selainta missään muussa :)

Ja totta toki, sille ei voi mitään jos joku pilaa itse asiansa pöydän ja näytön välillä, mutta paljon on meilläkin tehty sen eteen ettei näin kävisi (mm. normaali tili käytössä, selaimet EMETin alla jne.).



610.9.2012 22:21

Entäs Opera?

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 10.9.2012 @ 22:21

Jos joskus jostain jotain mutta kun ei koskaan mistään mitään.

711.9.2012 11:41

Selain siinä missä muutkin?



Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

Käytätkö Lumiaa? Messenger lopettaa toimimisen tällä viikolla Käytätkö Lumiaa? Messenger lopettaa toimimisen tällä viikolla (28.3.2017 12:30)
Facebook on lähettänyt sähköpostia käyttäjilleen, jotka käyttävät yhtiön omistamaa Messenger-pikaviestintä Windows Phone 8.1 -laitteilla. Sähköpostisa kerrotaan, että sovellus lopettaa toiminnan ....
6 kommenttia
Isoisä selvisi 8-vuotiaan takomasta luottokorttilaskusta – Google korvaa kaiken Isoisä selvisi 8-vuotiaan takomasta luottokorttilaskusta – Google korvaa kaiken (28.3.2017 11:31)
Google on heltynyt korvaamaan 8-vuotiaan Clash Royale -pelissä tekemän 6400 euron luottokorttilaskun. Pojan äidin mukaan ilman korvausta perhe olisi joutunut etsimään uuden asunnon. Massiivinen ....
Musk aikoo seuraavaksi kehittää aivotietokoneen Musk aikoo seuraavaksi kehittää aivotietokoneen (28.3.2017 10:51)
Elon Musk on miljoonan idean mies, joka tuntuu tarttuvan kiinni yhä utopistisimmista projekteista. Wall Street Journalin mukaan Musk aikoo seuraavaksi kehittää teknologiaa, jonka avulla aivoihin ....
Sääntö-Saksa iskee: YouTube-kanavan on hankittava viranomaisilta lähetyslupa Sääntö-Saksa iskee: YouTube-kanavan on hankittava viranomaisilta lähetyslupa (28.3.2017 09:55)
Kun uusi tekniikka tai uudet toimintatavat kohtaavat vanhan maailman lainsäädännön, niin tuloksena syntyy helposti absurdeja tilanteita. Tästä hyvänä esimerkkinä tuore tapaus Saksasta. Saksalaisten ....
3 kommenttia
Bungie valmistautuu Destiny 2:n julkaisuun – Markkinointikampanja lähti käyntiin Bungie valmistautuu Destiny 2:n julkaisuun – Markkinointikampanja lähti käyntiin (28.3.2017 09:38)
Bungie ja Activision ovat aloittaneet Destiny 2:n kiusoittelukampan Twitterissä julkaistulla viestillä. Markkinointikampanja lähti käyntiin yksinkertaisella kuvalla, jossa näkyy Destiny-teksti ....

Uutisarkisto