Новая уязвимость под названием FREAK (CVE-2015-0204) обнаружена в известном пакете свободно распространяемого ПО с открытыми исходными текстами под названием OpenSSL. Она позволяет злоумышленникам скомпрометировать используемое браузером защищенное подключение HTTPS. Уязвимость затронула мобильные платформы Google Android и Apple iOS, так как там используется OpenSSL, а также Apple OS X. Уязвимости подвержены также все поддерживаемые версии Microsoft Windows (SA 3046015) из-за схожей уязвимости в Microsoft Schannel.
Исправление для OS X и iOS (Safari) будет доступно пользователям на следующей неделе, то же касается и веб-браузера Google Chrome. Для Internet Explorer пока можно использовать Workaround, который описан здесь. Используя уязвимость FREAK, злоумышленники могут переключить доверенное безопасное соединение HTTPS между клиентом и сервером на его менее защищенную версию, а затем расшифровать трафик (т. н. атака Man-in-the-Middle).
Уязвимости подвержены как клиентское так и серверное ПО. Список веб-сайтов, которые могут быть скомпрометированы через FREAK, находится здесь. Опасность уязвимости также заключается в том, что с точки зрения уязвимого веб-браузера пользователя, при компрометации злоумышленником HTTPS подключения, оно все равно остается доверенным и никакого предупреждения системы безопасности пользователю вынесено не будет.
Исправление для OS X и iOS (Safari) будет доступно пользователям на следующей неделе, то же касается и веб-браузера Google Chrome. Для Internet Explorer пока можно использовать Workaround, который описан здесь. Используя уязвимость FREAK, злоумышленники могут переключить доверенное безопасное соединение HTTPS между клиентом и сервером на его менее защищенную версию, а затем расшифровать трафик (т. н. атака Man-in-the-Middle).
Уязвимости подвержены как клиентское так и серверное ПО. Список веб-сайтов, которые могут быть скомпрометированы через FREAK, находится здесь. Опасность уязвимости также заключается в том, что с точки зрения уязвимого веб-браузера пользователя, при компрометации злоумышленником HTTPS подключения, оно все равно остается доверенным и никакого предупреждения системы безопасности пользователю вынесено не будет.
