设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

SSL新攻击,Safari、AOSP易中招——FREAK

2015-3-4 12:18| 发布者: 随便、先森。| 查看: 1394| 评论: 0|来自: 360安全播报

摘要: 概述:一个新发现的漏洞出现在一些SSL和TLS实现中——包括Apple Safari以及谷歌安卓AOSP(安卓开源项目)浏览器,允许攻击者强制客户使用加密安全性弱的旧版加密算法,使拦截安全通讯变得极其容易。利用这些漏洞的攻 ...

概述: 一个新发现的漏洞出现在一些SSL和TLS实现中——包括Apple Safari以及谷歌安卓AOSP(安卓开源项目)浏览器,允许攻击者强制客户使用加密安全性弱的旧版加密算法,使拦截安全通讯变得极其容易。

 

利用这些漏洞的攻击被称作FREAK(Factoring RSA Export Keys,分解RSA导出密钥)。该攻击利用了NSA在20世纪90年代早期加密战争期间授权支持但已被弃用很久的“出口级”加密算法。《华盛顿邮报》报道称,当时NSA试图覆盖可被出口至其他国家的软件的加密强度,强制工程师们设计出加密库能够同时接收来自加密性较强的国内客户端以及加密性较弱的国外客户端连接。

尽管NSA在2000年便已放弃这个策略,但许多SSL/TLS客户端及服务器依然支持此类连接。对某个会话的加密强度在客户端(如Safari)与服务器首次“握手”时会进行协商,研究人员发现一些客户端仍然接受加密强度弱的出口级密码,即便它们在握手时要求更强的加密。

当易受攻击的客户端试图连接到仍然允许出口级密码的主机时,会产生上述漏洞。攻击者能够从服务器获得并破解出较弱的出口级密钥,随后伪装成合法主机发动中间人攻击。

Apple已承诺下周将在iOS及OS X上发布客户端补丁,而发现这个漏洞的研究者们(来自INRIA、IMDEA及微软研究机构)已向那些仍然支持出口级密码的主机发出通知。很多主机包括内容分发网络Akamai以及Facebook已经在服务器上禁用了对出口级密码的支持。

 

        参考网站:https://freakattack.com/



原文链接:http://appleinsider.com/articles/15/03/03/new-ssltls-flaw-leaves-safari-vulnerable-to-man-in-the-middle-attack-apple-promises-fix


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部