AfterDawn: IT-alan uutiset

Google löysi nettiyhteyksien salausprotokollasta kriittisen aukon

Kirjoittaja Manu Pitkänen @ 15.10.2014 08:33

Google löysi nettiyhteyksien salausprotokollasta kriittisen aukon Googlen tietoturvatutkijat ovat löytäneet vanhentuneesta SSL 3.0 -salausprotokollasta kriittisen aukon, jonka avulla hyökkääjä voi halutessaan purkaa yhteyden yli siirrettyjä salattuja tietoja.
SSL 3.0 on jo 15 vuotta vanha ja se on korvattu hyvän aikaa sitten uudemmilla TLS-protokollilla. Ongelmia kumpuaa lähinnä siitä, että uudemmat TLS-protokollat ovat taaksepäin yhteensopivia, joten uusimmat verkkoselaimetkin tukevat edelleen SSL 3.0:aa. Jos jostakin syystä TLS-protokollien käyttö ei onnistu, voivat selaimet käyttää salatun yhteyden muodostamiseen SSL 3.0:aa.

Hyökkääjä voi halutessaan häiritä yhteydenmuodostusta ja pakottaa selainta käyttämään SSL 3.0:aa, jolloin hän pääsee hyödyntämään Googlen löytämää aukkoa.

Googlen mukaan ongelma ratkeaa esimerkiksi poistamalla SSL 3.0 -tuki kokonaan selaimista. Tällöin eteen voi tulla kuitenkin yhteensopivuusongelmia. Yhteensopivuusongelmien välttämiseksi on esitelty TLS_FALLBACK_SCSV-korjaus, joka estää selainta käyttämästä SSL 3.0:aa epäonnistuneen yhteydenmuodostamisen jälkeen.




Lisää haavoittuvuudesta voi lukea Googlen blogista. Keväällä maailmaa ravisutti salattuihin yhteyksiin käytetystä OpenSSL:stä löytynyt Heartbleed-bugi.

AfterDawnin diilit uutiskirjeenä!

Etsimme jatkuvasti hyviä tietotekniikan ja kännyköiden diilejä ympäri nettiä ja uutisoimme niistä sivuillamme. Jos haluat saada tiedon uusista diileistä heti sähköpostiisi, tilaa diilien uutiskirjeemme.

Tilaamalla uutiskirjeemme hyväksyt sääntömme ja tietosuojakäytäntömme.

Edellinen Seuraava  
Tämän uutisen kommentointi ei ole enää mahdollista.

Uutisarkisto