Главная » Новости

19-летняя брешь угрожает популярным сайтам, включая Facebook, PayPal

Олег Иванов 13 Декабря 2017 - 11:22
...
19-летняя брешь угрожает популярным сайтам, включая Facebook, PayPal

19-летняя уязвимость в протоколе сетевой безопасности TLS была обнаружена в программном обеспечении, по меньшей мере, восьми ИТ-поставщиков и проектов с открытым исходным. Эта брешь может позволить злоумышленнику расшифровать зашифрованные сообщения.

Обнаруженный исследователями из Рурского университета в Бохуме, недостаток затрагивает серверы 27 из 100 самых популярных доменов, включая Facebook и PayPal.

«Проблемы в основном были обнаружены в дорогих коммерческих продуктах, которые часто используются для обеспечения контроля безопасности на популярных веб-сайтах», — говорит Крейг Янг (Craig Young), один из обнаруживших уязвимость экспертов.

Недостаток, о котором идет речь, был выявлен в 1998 году, когда Дэниэл Блейхенбахер (Daniel Bleichenbacher), швейцарский криптограф, работающий в настоящее время в Google, обнаружил уязвимость в реализации RSA PKCS #1 v1.5.

Недостаток может быть использован злоумышленниками для отправки повторяющихся запросов на сервер, на котором запущен уязвимый код, это позволит получать ответы, с помощью которых можно декодировать якобы безопасных сообщений.

Проблема не ограничивается TLS. Исследователи говорят, что подобные проблемы существуют также в XML Encryption, PKCS#11-интерфейсах, Javascript Object Signing and Encryption (JOSE), Cryptographic Message Syntax / S/MIME.

Эксперты назвали обнаруженную брешь ROBOT, что является аббревиатурой от Return Of Bleichenbacher’s Oracle Threat (Возвращение блейхенбахерской Oracle-угрозы).

«Oracle» в данном контексте не относится к крупной корпорации, имеются в виду уязвимые серверы, вытупающие в качестве оракулов, предоставляя ответы на запросы.

Как объясняет Янг, уязвимости удалось просуществовать так долго из-за того, что рекомендации для разработчиков программного обеспечения были слишком короткими и становились все сложнее с последующими итерациями.

«Конечный результат, как мы видим, представляет собой то, что многие разработчики программного обеспечения неправильно реализовали эти меры защиты», — утверждает Янг.

В качестве доказательства наличия этой бреши исследователи подписали сообщение с закрытым ключом HTTPS-сертификата facebook.com.

Также эксперты привели список затронутых ROBOT производителей:

F5  BIG-IP SSL vulnerability  CVE-2017-6168
Citrix  TLS Padding Oracle Vulnerability in Citrix NetScaler Application Delivery Controller (ADC) and NetScaler Gateway  CVE-2017-17382
Radware  Security Advisory: Adaptive chosen-ciphertext attack vulnerability  CVE-2017-17427
Cisco ACE  End-of-Sale and End-of-Life  CVE-2017-17428
Bouncy Castle  Fix in 1.59 beta 9, Patch / Commit  CVE-2017-13098
Erlang  OTP 18.3.4.7, OTP 19.3.6.4, OTP 20.1.7  CVE-2017-1000385
WolfSSL  Github PR / patch  CVE-2017-13099
MatrixSSL  Changes in 3.8.3  CVE-2016-6883
Java / JSSE  Oracle Critical Patch Update Advisory – October 2012  CVE-2012-5081
Следующая главная новость »
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google закрыла в Android 14 критическую уязвимость повышения прав
Екатерина Быстрова 08 Мая 2024 - 17:08
Android Уязвимости программ Домашние пользователи Google
Google закрыла в Android 14 критическую уязвимость повышения прав

На этой неделе Google выпустила очередной набор обновлений для мобильной операционной системы Android. Разработчики устранили в общей сложности 26 уязвимостей, включая критическую проблему в компоненте System.

Самая опасная брешь отслеживается под идентификатором CVE-2024-23706 и застрагивает Android 14. По словам Google, CVE-2024-23706 позволяет повысить права.

«Наиболее опасная из устранённых в этом месяце уязвимостей затрагивает системный компонент System и может привести к локальному повышению привилегий в системе», — пишет корпорация.

Разработчики выпустили первый набор обновлений 2024-05-01 security patch level, закрывающий CVE-2024-23706 и ещё семь дыр. Другие проблемы нашлись в компонентах Framework и System.

Второй набор — 2024-05-05 security patch level — включает заплатки для других 18 уязвимостей, затрагивающих ядро и компоненты Arm, MediaTek, Qualcomm. Кроме того, этот набор обновляет версии LTS.

Для смартфонов Pixel по традиции выпустили отдельные апдейты. Они закрывают семь дополнительных брешей, затрагивающих компонент Bluetooth, драйвер Mali GPU и пять компонентов Qualcomm.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
В Яндекс ID теперь можно войти по лицу или отпечатку пальца
Новость
В Яндекс ID теперь можно войти по лицу или отпечатку пальца
В Сеть попали данные покупателей маркетплейса PandaBuy (pandabuy[.]com)
Новость
В Сеть попали данные покупателей маркетплейса PandaBuy (pand...
До 42% российских IP-адресов, блокируемых из-за DDoS, — в основном прокси
Новость
До 42% российских IP-адресов, блокируемых из-за DDoS, — в ос...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2024. Все права защищены.

Рекламные коды ОРД: JapBIIgg8, JapBINit6, JapBIR7iO, JapBIM8gm, LdtCKaTR6