Pull to refresh
0
Rating

В десктопных и мобильных ОС обнаружена опасная уязвимость FREAK

ESET NOD32 corporate blog
Новая уязвимость под названием FREAK (CVE-2015-0204) обнаружена в известном пакете свободно распространяемого ПО с открытыми исходными текстами под названием OpenSSL. Она позволяет злоумышленникам скомпрометировать используемое браузером защищенное подключение HTTPS. Уязвимость затронула мобильные платформы Google Android и Apple iOS, так как там используется OpenSSL, а также Apple OS X. Уязвимости подвержены также все поддерживаемые версии Microsoft Windows (SA 3046015) из-за схожей уязвимости в Microsoft Schannel.



Исправление для OS X и iOS (Safari) будет доступно пользователям на следующей неделе, то же касается и веб-браузера Google Chrome. Для Internet Explorer пока можно использовать Workaround, который описан здесь. Используя уязвимость FREAK, злоумышленники могут переключить доверенное безопасное соединение HTTPS между клиентом и сервером на его менее защищенную версию, а затем расшифровать трафик (т. н. атака Man-in-the-Middle).

Уязвимости подвержены как клиентское так и серверное ПО. Список веб-сайтов, которые могут быть скомпрометированы через FREAK, находится здесь. Опасность уязвимости также заключается в том, что с точки зрения уязвимого веб-браузера пользователя, при компрометации злоумышленником HTTPS подключения, оно все равно остается доверенным и никакого предупреждения системы безопасности пользователю вынесено не будет.
Tags:
Hubs:
Total votes 3: ↑3 and ↓0 +3
Views 8K
Comments Comments 6

Information

Founded
Location
Словакия
Website
www.esetnod32.ru
Employees
1,001–5,000 employees
Registered