AfterDawn: IT-alan uutiset

Uusi haavoittuvuus vaarantaa suojatut selainistunnot

Kirjoittaja Janne Häyrynen @ 7.9.2012 10:52 Kommentteja (7)

Uusi haavoittuvuus vaarantaa suojatut selainistunnot Kaspersky Labin uutispalvelu threatpost.com kertoo, että kaksi tietoturvatutkijaa on paljastanut hyökkäyksen, jonka avulla on mahdollista kaapata suojattu HTTPS-istunto.
Yleisimmissä selaimissa käytetyn SSL/TLS-salakirjoitusstandardin kaikki tämänhetkiset versiot sisältävät ominaisuuden, jonka kautta on mahdollista avata salakirjoitetut, selainistuntoja koskevat evästeet. Evästeiden avulla hyökkääjän on mahdollista kirjautua tietyissä tapauksissa uudelleen suojatulle verkkosivulle uhrin tunnusta käyttäen. Haavoittuvuus toimii riippumatta evästeen salakirjoitukseen käytetystä algoritmista.

Uusi haavoittuvuus toimii, kun hyökkääjä ensin suorittaa JavaScript-koodia selaimessa ja pääsee tarkkailemaan käyttäjän HTTPS-liikennettä, mutta periaatteessa myös yksinkertainen HTML-sivu voi toimia vastaavalla tavalla. Tällä hetkellä sekä Firefox- että Chrome-selaimet ovat hyökkäykselle alttiita. Selaimiin on kehitetty korjaukset, jotka julkaistaan lähiviikkoina.

Tietoturvatutkijat Juliano Rizzo ja Thai Duong aikovat kertoa CRIME:ksi nimetyn haavoittuvuuden yksityiskohdista myöhemmin tässä kuussa. Samat tutkijat paljastivat viime vuonna vastaavankaltaisen BEAST-hyökkäyksen (Browser Exploit Against SSL/TLS), joka myös koski evästeiden avaamista suojatuissa istunnoissa, esimerkiksi kauppa- ja pankkipalveluissa.

Tägit: SSL
Edellinen Seuraava  

7 kommenttia

17.9.2012 11:12

No ei tullut yllätyksenä, mikään systeemi ei ole täydellinen.

"nyt kaikki äkkiä poistamaan nettiselaimet koneesta"

Mutta vitsit sikseen, kyllä tuo vakava haavoittuvuus on.

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 7.9.2012 @ 11:14

27.9.2012 15:36

Lainaus, alkuperäisen viestin kirjoitti G0lden_Kebab:
"nyt kaikki äkkiä poistamaan nettiselaimet koneesta"
Niinhän tässä uutisessa pitäisi lukea, mutta AfterDawn jätti sen maininnan vain bisnessyistä pois. ;-)

BTW. Uusi toimittaja bongattu. Hyvältä näyttää nämä uutiset. :-)
Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 7.9.2012 @ 15:45

BSOD is a registered trademark of Microsoft Corporation | Windowsin lähdekoodi

39.9.2012 10:19

Jo jonkun aikaa on ohjeistettu, että esim. pankkiasiointiin kannattaa käyttää kokonaan eri selainta, ja tavalliseen selailuun jotain toista. Siinä jää juuri nämä odottamaan jäävät kikkareet nuolemaan näppejään kun selain vaihtuu.



410.9.2012 7:05

^ Paitsi että aina ei riitä sekään. Joku kikkare voi hyvinkin saastuttaa kaikki selaimet, niin kuin tässäkin taloudessa kävi jokin aika sitten. Se vika on lähes aina penkin ja monitorin välissä, ja jos korvien välissä tuulee niin virustorjuntakaan ei mahda mitään.

510.9.2012 9:52

Meillä ei käytetä pankkiasiointiin varattua selainta missään muussa :)

Ja totta toki, sille ei voi mitään jos joku pilaa itse asiansa pöydän ja näytön välillä, mutta paljon on meilläkin tehty sen eteen ettei näin kävisi (mm. normaali tili käytössä, selaimet EMETin alla jne.).



610.9.2012 22:21

Entäs Opera?

Viestiä on muokattu sen lähettämisen jälkeen. Viestiä on muokattu viimeksi 10.9.2012 @ 22:21

Jos joskus jostain jotain mutta kun ei koskaan mistään mitään.

711.9.2012 11:41

Selain siinä missä muutkin?



Tämän uutisen kommentointi ei ole enää mahdollista.

Tuoreimmat uutiset

Nokia X5 julki – iPhone X:stä tuttua designia pikkurahalla Nokia X5 julki – iPhone X:stä tuttua designia pikkurahalla (19.7.2018 18:25)
HMD Global on esitellyt Kiinan markkinoille Nokia X5 -älypuhelimen, jolla pyritään vetoamaan tyylikästä ja edullista puhelinta etsivään kansanosaan. Nokai X5:n muotoilussa noudatetaan aiemmin ....
3 kommenttia
Google vihjailee – Android ei välttämättä pysy ilmaisena jos EU:n tahto menee läpi Google vihjailee – Android ei välttämättä pysy ilmaisena jos EU:n tahto menee läpi (19.7.2018 18:13)
Googlen toimitusjohtaja Sundar Pichai tuntuu olevan hyvin järkyttynyt Euroopan komission eilen julkistamasta 4,3 miljardin euron sakosta. Komission mukaan Google on käyttänyt määräävää markkina-asemaa ....
7 kommenttia
Älypuhelimen näyttö rikki? Uusi lasi kestää entistä kovempaakin käsittelyä Älypuhelimen näyttö rikki? Uusi lasi kestää entistä kovempaakin käsittelyä (19.7.2018 18:08)
Yhdysvaltalainen lasivalmistaja Corning on ottanut uuden harppauksen älypuhelimien näyttöjen suojana käytettävissä Gorilla Glass -lasien kehityksessä. Yhtiö on esitellyt seuraajan nykyisissä ....
Samsung yllättää – Taipuva puhelin tulee jo ensi vuonna myyntiin Samsung yllättää – Taipuva puhelin tulee jo ensi vuonna myyntiin (18.7.2018 20:02)
Samsung kehittää seitsemän tuumaista mobiililaitetta, jonka voisi taittaa keskeltä pienemmäksi – samaan tapaan kuin lompakon. Suunnitelmista uutisoi Wall Street Journal. Kyseessä olisi yksi ....
5 kommenttia
Honor 10:n suorituskyky ja kamera paranee – Akkukestoakin luvassa lisää Honor 10:n suorituskyky ja kamera paranee – Akkukestoakin luvassa lisää (18.7.2018 17:27)
Toukokuussa Suomessa myyntiin tulleelle Honor 10 -älypuhelimelle on luvassa kaksi mainittavaa muutosta elokuun 3. päivä ilmestyvän päivityksen mukana. Honor 10:n omistajien saataville on ....
2 kommenttia

Uutisarkisto