吳明宜安全研究人員周四發表SSL協定的重大安全弱點。
SSL (Secure Sockets Layer)是用在網路銀行和確保安全機密與資料庫存取的協定。
安全研究人員周四發表 SSL 協定的重大安全弱點。
SSL (Secure Sockets Layer) 是用在網路銀行和確保安全機密與資料庫存取的協定。
手機雙因素認證技術供應商 PhoneFactor 研究人員 Marsh Ray and Steve Dispensa 8 月間發現到這項弱點,預計明年公佈,以便讓受影響的廠商有時間可修補軟體。
但一名獨立安全研究人員發現到這項弱點,並在日前通知 IETF 。
這項弱點會可使駭客執行中間人攻擊,綁架認證的 SSL 連線並執行指令。理論上沒有任何一個網頁伺服器或 Web 瀏覽器會通知管理員連線遭到綁架。「由於這是協定上的弱點,而不只是實作上的瑕疵,所以影響會很廣泛。所有 SSL 函式庫都會需要修補,而且大部份用戶端和伺服器應用最少都得在產品中加入新版 SSL 函式庫。大部份用戶最後都需要升級使用到 SSL 的軟體。」
最近也發現其他 SSL 弱點。黑帽駭客安全會議上,Intrepidus Group 首席顧問 Mike Zusman, 和獨立安全研究員 Alex Sotirov 發現網頁伺服器上的設計瑕疵可讓攻擊者對有延伸驗證 (extended validation) SSL 授權的網站進行中間人攻擊。
另一個安全研究人員 Moxie Marlinspike 則展示另一個 SSL 瑕疵。