19-летняя брешь угрожает популярным сайтам, включая Facebook, PayPal

Олег Иванов 13 Декабря 2017 - 11:22

...

19-летняя брешь угрожает популярным сайтам, включая Facebook, PayPal

19-летняя уязвимость в протоколе сетевой безопасности TLS была обнаружена в программном обеспечении, по меньшей мере, восьми ИТ-поставщиков и проектов с открытым исходным. Эта брешь может позволить злоумышленнику расшифровать зашифрованные сообщения.

Обнаруженный исследователями из Рурского университета в Бохуме, недостаток затрагивает серверы 27 из 100 самых популярных доменов, включая Facebook и PayPal.

«Проблемы в основном были обнаружены в дорогих коммерческих продуктах, которые часто используются для обеспечения контроля безопасности на популярных веб-сайтах», — говорит Крейг Янг (Craig Young), один из обнаруживших уязвимость экспертов.

Недостаток, о котором идет речь, был выявлен в 1998 году, когда Дэниэл Блейхенбахер (Daniel Bleichenbacher), швейцарский криптограф, работающий в настоящее время в Google, обнаружил уязвимость в реализации RSA PKCS #1 v1.5.

Недостаток может быть использован злоумышленниками для отправки повторяющихся запросов на сервер, на котором запущен уязвимый код, это позволит получать ответы, с помощью которых можно декодировать якобы безопасных сообщений.

Проблема не ограничивается TLS. Исследователи говорят, что подобные проблемы существуют также в XML Encryption, PKCS#11-интерфейсах, Javascript Object Signing and Encryption (JOSE), Cryptographic Message Syntax / S/MIME.

Эксперты назвали обнаруженную брешь ROBOT, что является аббревиатурой от Return Of Bleichenbacher’s Oracle Threat (Возвращение блейхенбахерской Oracle-угрозы).

«Oracle» в данном контексте не относится к крупной корпорации, имеются в виду уязвимые серверы, вытупающие в качестве оракулов, предоставляя ответы на запросы.

Как объясняет Янг, уязвимости удалось просуществовать так долго из-за того, что рекомендации для разработчиков программного обеспечения были слишком короткими и становились все сложнее с последующими итерациями.

«Конечный результат, как мы видим, представляет собой то, что многие разработчики программного обеспечения неправильно реализовали эти меры защиты», — утверждает Янг.

В качестве доказательства наличия этой бреши исследователи подписали сообщение с закрытым ключом HTTPS-сертификата facebook.com.

Также эксперты привели список затронутых ROBOT производителей:

F5	BIG-IP SSL vulnerability	CVE-2017-6168
Citrix	TLS Padding Oracle Vulnerability in Citrix NetScaler Application Delivery Controller (ADC) and NetScaler Gateway	CVE-2017-17382
Radware	Security Advisory: Adaptive chosen-ciphertext attack vulnerability	CVE-2017-17427
Cisco ACE	End-of-Sale and End-of-Life	CVE-2017-17428
Bouncy Castle	Fix in 1.59 beta 9, Patch / Commit	CVE-2017-13098
Erlang	OTP 18.3.4.7, OTP 19.3.6.4, OTP 20.1.7	CVE-2017-1000385
WolfSSL	Github PR / patch	CVE-2017-13099
MatrixSSL	Changes in 3.8.3	CVE-2016-6883
Java / JSSE	Oracle Critical Patch Update Advisory – October 2012	CVE-2012-5081

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 15 Октября 2025 - 15:48

Kaspersky Safe Kids Корпорации Родительский контроль Системы контентной веб-фильтрации Защита от мошенничества

Т2 будет предоставлять все услуги ИБ под единым брендом Safewall

Российский оператор связи Т2 объединил все свои ИБ-сервисы на общей платформе и зарегистрировал под нее новый товарный знак — Safewall. Инвестиции в новый проект, по оценкам экспертов, составили несколько сотен миллионов рублей.

В настоящее время абонентам Т2 доступны возможности проактивной защиты, поведенческого анализа, антифрод, голосовой ассистент. Развивать SafeWall планируется за счет добавления новых модулей — собственных разработок и решений партнеров компании.

Базовый уровень безопасности бесплатен и включает блокировку мошеннических звонков, антиспам для СМС, защиту от скрытых подписок, защиту от взлома аккаунта Госуслуг (запрет на доставку СМС-кодов во время звонков).

В рамках бесплатного ИБ-пакета также доступны блокировка телефонных вызовов и СМС с зарубежных номеров, автоматическая маркировка входящих звонков, мониторинг утечек персональных данных, помощь голосового ассистента.

Набор защитных функций можно расширить за счет подключения платных сервисов — таких как «Где мои дети» (геолокация), «Антивирус Kaspersky» и Kaspersky Safe Kids.

Получить доступ к Safewall можно из соответствующего раздела в мобильном приложении Т2: