*
 
AfterDawn: IT-alan uutiset

Google löysi nettiyhteyksien salausprotokollasta kriittisen aukon

Kirjoittaja Manu Pitkänen (Google+) @ 15.10.2014 08:33

Google löysi nettiyhteyksien salausprotokollasta kriittisen aukon Googlen tietoturvatutkijat ovat löytäneet vanhentuneesta SSL 3.0 -salausprotokollasta kriittisen aukon, jonka avulla hyökkääjä voi halutessaan purkaa yhteyden yli siirrettyjä salattuja tietoja.
SSL 3.0 on jo 15 vuotta vanha ja se on korvattu hyvän aikaa sitten uudemmilla TLS-protokollilla. Ongelmia kumpuaa lähinnä siitä, että uudemmat TLS-protokollat ovat taaksepäin yhteensopivia, joten uusimmat verkkoselaimetkin tukevat edelleen SSL 3.0:aa. Jos jostakin syystä TLS-protokollien käyttö ei onnistu, voivat selaimet käyttää salatun yhteyden muodostamiseen SSL 3.0:aa.

Hyökkääjä voi halutessaan häiritä yhteydenmuodostusta ja pakottaa selainta käyttämään SSL 3.0:aa, jolloin hän pääsee hyödyntämään Googlen löytämää aukkoa.

Googlen mukaan ongelma ratkeaa esimerkiksi poistamalla SSL 3.0 -tuki kokonaan selaimista. Tällöin eteen voi tulla kuitenkin yhteensopivuusongelmia. Yhteensopivuusongelmien välttämiseksi on esitelty TLS_FALLBACK_SCSV-korjaus, joka estää selainta käyttämästä SSL 3.0:aa epäonnistuneen yhteydenmuodostamisen jälkeen.

Lisää haavoittuvuudesta voi lukea Googlen blogista. Keväällä maailmaa ravisutti salattuihin yhteyksiin käytetystä OpenSSL:stä löytynyt Heartbleed-bugi.

Edellinen Seuraava  
Tämän uutisen kommentointi ei ole enää mahdollista.

Uutisarkisto