В десктопных и мобильных ОС обнаружена опасная уязвимость FREAK

    Новая уязвимость под названием FREAK (CVE-2015-0204) обнаружена в известном пакете свободно распространяемого ПО с открытыми исходными текстами под названием OpenSSL. Она позволяет злоумышленникам скомпрометировать используемое браузером защищенное подключение HTTPS. Уязвимость затронула мобильные платформы Google Android и Apple iOS, так как там используется OpenSSL, а также Apple OS X. Уязвимости подвержены также все поддерживаемые версии Microsoft Windows (SA 3046015) из-за схожей уязвимости в Microsoft Schannel.



    Исправление для OS X и iOS (Safari) будет доступно пользователям на следующей неделе, то же касается и веб-браузера Google Chrome. Для Internet Explorer пока можно использовать Workaround, который описан здесь. Используя уязвимость FREAK, злоумышленники могут переключить доверенное безопасное соединение HTTPS между клиентом и сервером на его менее защищенную версию, а затем расшифровать трафик (т. н. атака Man-in-the-Middle).

    Уязвимости подвержены как клиентское так и серверное ПО. Список веб-сайтов, которые могут быть скомпрометированы через FREAK, находится здесь. Опасность уязвимости также заключается в том, что с точки зрения уязвимого веб-браузера пользователя, при компрометации злоумышленником HTTPS подключения, оно все равно остается доверенным и никакого предупреждения системы безопасности пользователю вынесено не будет.
    ESET NOD32
    Company
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 6

      –1
      Всегда настораживали модули безопасности (например SSL) с приставкой Open…
        0
        А меня нет. Просто всё дело в популярности ПО и чем оно популярнее тем больше его анализируют и тем больше находят дыр. Для примера можно взять Flash или IE или криптографические продукты от Apple или MS (в статье даже упоминается Microsoft Schannel с той же проблемой). В общем, во всех популярных продуктах точно так же регулярно находят и закрывают дырки, а в криптопродуктах их обычно находят чаще поскольку их чаще всего тестируют. А вот что меня по-настоящему тревожит так это софт, которым пользуется полтора человека и который, вообще, никто никогда не проверял на безопасность, что в случае целенаправленной атаки даст злоумышленникам огромные преимущества.
          0
          Не соглашусь с этим выводом. По моему личному мнению, всё дело в квалификации и мотивации разработчиков. Если безопасность и качество продукта — это хлеб и приоритет компании (разработчиков + менеджеров + QA), то и продукт получается соответствующий. Например, массовый продукт Skype, по CVE 28 уязвимостей, а у OpenSSL 191.
          Библиотека OpenSSL написана на Си, вот факты о качестве кода. Если и этого не достаточно, можно посмотреть на количество и качество тестов. Тестов на эту библиотеку чуть больше сотни, на покрытие кода тестами без слез сложно смотреть. Обычно модуль сериализации/десериализации настроек имеет сравнимое количество тестов. Так вот вывод из вышесказанного один — разработка качественного и надежного кода не было приоритетом сообщества при разработке этой библиотеки.
          А что с Flash? Недавно имел возможность в спокойной обстановке лично пообщаться со старшим научным сотрудником и архитектором в Adobe Шоном Перентом (Sean Parent). Отвечая на вопрос «Почему в Adobe Flash находят столько уязвимостей?», он сообщил, что продукт развивался достаточно быстро и руководство поставило приоритетом удовлетворение потребностей пользователей в новом функционале, а приоритет качества и надежности кода был понижен. В итоге продукту удалось завоевать внимание пользователей, но вот переписать всю эту кучу некачественного кода времени так и нет.
          С разработчиками IE не общался, прокомментировать не могу.
          Да, свой комментарий выше не пометил тегом «сарказм». Посыпаю голову пеплом.
            0
            Благодарю за столь развёрнутый и подробный ответ.

            С Flash как раз всё понятно и не удивительно.
        0
        В статье очень не хватает описания сути уязвимости, а то я, например, не понял угрожает мне эта уязвимость чем-нибудь или нет. Пришлось читать сайт, но даже это не дало окончательной уверенности, например, в том затрагивает ли уязвимость продукты вроде OpenVPN или нет.

      Only users with full accounts can post comments. Log in, please.