Poodle «покусал» и TLS: серьёзная уязвимость SSL 3.0 также затрагивает TLS 1.2

8 декабря стало известно: уязвимость в SSL 3.0, обнаруженная два месяца и известная как Poodle, затрагивает TLS. Эксплуатируя уязвимость, можно многократно атаковать TLS.

В середине октября была опубликована информация о серьёзной уязвимости в протоколе SSL 3.0. Напоминаем, что SSL 3.0 не требует определённого формата у дополнения (padding), исключая последний байт и длину, и подставляет себя под активные сетевые атаки. Несмотря на то что TLS строго относится к форматированию дополнения, некоторые из реализаций пропускают это шаг и проверяют структуру дополнения уже после расшифровки. Эти реализации уязвимы к Poodle даже с TLS.

Пудель снова кусается: под угрозой оказался TLS 1.2
Пудель снова кусается: под угрозой оказался TLS 1.2 / Иллюстрация с сайта flickr.com

Это облегчает исполнение атаки: больше не надо понижать современные клиенты до SSL 3.0, вполне подойдёт TLS 1.2. Основная цель — браузеры, потому что злоумышленник должен внедрить JavaScript для начала атаки. Успешная атака использует примерно 256 запросов, чтобы получить один символ из куки или всего 4096 запросов для 16-символьного куки. Это делает атаку довольно реальной.

По данным сканера SSL Pulse, уязвимости POODLE против TLS (CVE-2014-8730) подвержено порядка 10 % серверов. Дополнительную информацию можно найти в блоге Адама Лэнгли (Adam Langley) из Google, обнаружившего уязвимость.

Никита Лялин по материалам Community.Qualys.Com.



Коды для вставки в блог\форум




Интересные новости
Firefox получил поддержку режима «картинка в картинке»Firefox получил поддержку режима «картинка в картинке»
Блок рекламы


Похожие новости

Найдена опасная уязвимость в документах WordНайдена опасная уязвимость в документах Word
Раскрыта новая уязвимость нулевого дня, затрагивающая все версии WindowsРаскрыта новая уязвимость нулевого дня, затрагивающая все версии Windows
Уязвимость «нулевого дня» найдена во всех операционных системах WindowsУязвимость «нулевого дня» найдена во всех операционных системах Windows
Уязвимость в клиенте Steam на протяжение 10 лет давала доступ к компьютерам пользователей
Уязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профиляхУязвимость в Chrome и Firefox в течение года позволяла получать данные о Facebook-профилях
Google и Microsoft нашли новую процессорную уязвимость. Патч может снизить производительность
В Internet Explorer обнаружена 0-day уязвимость, которую уже используют хакерыВ Internet Explorer обнаружена 0-day уязвимость, которую уже используют хакеры
В uTorrent нашли уязвимость, которая позволяет сайтам получать контроль над ПК
В большинстве процессоров Intel нашли уязвимость. Ее решение требует изменений в ядрах ОС и понижает производительность
В Windows 10 нашли важную уязвимостьВ Windows 10 нашли важную уязвимость
Последние новости

Подгружаем последние новости