19-летняя брешь угрожает популярным сайтам, включая Facebook, PayPal

19-летняя брешь угрожает популярным сайтам, включая Facebook, PayPal

19-летняя брешь угрожает популярным сайтам, включая Facebook, PayPal

19-летняя уязвимость в протоколе сетевой безопасности TLS была обнаружена в программном обеспечении, по меньшей мере, восьми ИТ-поставщиков и проектов с открытым исходным. Эта брешь может позволить злоумышленнику расшифровать зашифрованные сообщения.

Обнаруженный исследователями из Рурского университета в Бохуме, недостаток затрагивает серверы 27 из 100 самых популярных доменов, включая Facebook и PayPal.

«Проблемы в основном были обнаружены в дорогих коммерческих продуктах, которые часто используются для обеспечения контроля безопасности на популярных веб-сайтах», — говорит Крейг Янг (Craig Young), один из обнаруживших уязвимость экспертов.

Недостаток, о котором идет речь, был выявлен в 1998 году, когда Дэниэл Блейхенбахер (Daniel Bleichenbacher), швейцарский криптограф, работающий в настоящее время в Google, обнаружил уязвимость в реализации RSA PKCS #1 v1.5.

Недостаток может быть использован злоумышленниками для отправки повторяющихся запросов на сервер, на котором запущен уязвимый код, это позволит получать ответы, с помощью которых можно декодировать якобы безопасных сообщений.

Проблема не ограничивается TLS. Исследователи говорят, что подобные проблемы существуют также в XML Encryption, PKCS#11-интерфейсах, Javascript Object Signing and Encryption (JOSE), Cryptographic Message Syntax / S/MIME.

Эксперты назвали обнаруженную брешь ROBOT, что является аббревиатурой от Return Of Bleichenbacher’s Oracle Threat (Возвращение блейхенбахерской Oracle-угрозы).

«Oracle» в данном контексте не относится к крупной корпорации, имеются в виду уязвимые серверы, вытупающие в качестве оракулов, предоставляя ответы на запросы.

Как объясняет Янг, уязвимости удалось просуществовать так долго из-за того, что рекомендации для разработчиков программного обеспечения были слишком короткими и становились все сложнее с последующими итерациями.

«Конечный результат, как мы видим, представляет собой то, что многие разработчики программного обеспечения неправильно реализовали эти меры защиты», — утверждает Янг.

В качестве доказательства наличия этой бреши исследователи подписали сообщение с закрытым ключом HTTPS-сертификата facebook.com.

Также эксперты привели список затронутых ROBOT производителей:

F5  BIG-IP SSL vulnerability  CVE-2017-6168
Citrix  TLS Padding Oracle Vulnerability in Citrix NetScaler Application Delivery Controller (ADC) and NetScaler Gateway  CVE-2017-17382
Radware  Security Advisory: Adaptive chosen-ciphertext attack vulnerability  CVE-2017-17427
Cisco ACE  End-of-Sale and End-of-Life  CVE-2017-17428
Bouncy Castle  Fix in 1.59 beta 9, Patch / Commit  CVE-2017-13098
Erlang  OTP 18.3.4.7, OTP 19.3.6.4, OTP 20.1.7  CVE-2017-1000385
WolfSSL  Github PR / patch  CVE-2017-13099
MatrixSSL  Changes in 3.8.3  CVE-2016-6883
Java / JSSE  Oracle Critical Patch Update Advisory – October 2012  CVE-2012-5081
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В России разработали передовую 3D-интеграцию для квантовых процессоров

Российские исследователи представили новую 3D-технологию интеграции микросхем, которая поможет создавать мощные гибридные квантово-классические процессоры. Разработка решает одну из главных инженерных задач в квантовой электронике — как надёжно соединить квантовую и классическую часть системы при температурах, близких к абсолютному нулю.

Сегодня квантовые процессоры насчитывают десятки или сотни кубитов — особых элементов, выполняющих вычисления, недоступные обычным компьютерам.

Классическая электроника в таких системах отвечает за управление, синхронизацию и обработку данных. Но чтобы решать действительно сложные задачи — от моделирования молекул до оптимизации логистики — потребуется уже тысячи и миллионы кубитов. Один чип столько не вмещает, поэтому процессоры собирают из нескольких взаимосвязанных модулей.

Проблема в том, что при температурах около 20 миллиКельвинов, необходимых для работы кубитов, любое соединение между чипами должно оставаться сверхпроводящим — передавать сигналы без потерь и не вносить шум. Чем больше элементов, тем труднее обеспечить такую стабильность.

Чтобы обойти это ограничение, учёные из МИСИС, МГУ, Российского квантового центра, Центра нанофабрикации СП «Квант» и парижской ESPCI-Paris усовершенствовали технологию flip-chip — метода, при котором чипы размещаются друг над другом и соединяются миниатюрными сверхпроводящими контактами.

Команда создала и протестировала индиевые соединительные элементы с многослойным металлическим основанием (Al/Ti/Pt/In). Они выдерживают резкие перепады температуры и не образуют дефектов на границе с алюминием — а именно такие дефекты раньше мешали работе кубитов.

«При совпадении частот резонаторов можно полностью передавать неклассические квантовые состояния с одного чипа на другой. Это ключевой шаг к построению квантовых сетей», — пояснил Николай Клёнов, доцент МГУ.

Учёные исследовали три типа связи между квантовым (Q-chip) и управляющим (C-chip) модулями — каждый вариант подходит для своих задач: от точной настройки параметров до передачи пикосекундных импульсов, управляющих кубитами.

«Мы подтвердили стабильную работу всех типов связи при сверхнизких температурах. Измеренные характеристики полностью совпали с теоретическими расчётами», — добавила Наталия Малеева, директор дизайн-центра квантового проектирования НИТУ МИСИС.

Разработка открывает путь к созданию модульных квантовых процессоров, где несколько чипов объединяются в единую вычислительную систему. Следующий шаг — интеграция реальных кубитов и отладка передачи квантовой информации.

В будущем такие технологии могут использоваться для разработки новых лекарств и материалов, финансового моделирования, криптографии и прогнозирования климата.

Исследование проведено при поддержке Госкорпорации «Росатом» в рамках дорожной карты «Квантовые вычисления» и программы Минобрнауки России «Приоритет-2030». Результаты опубликованы в журнале Advanced Quantum Technologies.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru