Microsoft может выпустить патч для защиты от SSL-атак


Microsoft заявила, что для закрытия известной уязвимости в протоколах, использующихся для защиты соединений с веб-сайтами, может быть выпущено соответствующее обновление.

Несмотря на то, что о наличии уязвимости в криптографических протоколах SSL 3.0 и TLS 1.0 было известно уже около десяти лет назад, практическое средство для взлома этих протоколов было представлено только на прошлой неделе. На конференции Ekoparty исследователи Тай Дуон и Хулиано Риззо продемонстрировали программу под названием BEAST, представляющую собой инструмент для атаки на браузеры, способный расшифровывать аутентификационные куки, передаваемые по протоколу HTTPS.

В своём предупреждении об опасности Microsoft сообщает, что после исследования ситуации компания примет нужные меры для защиты своих клиентов. Эти меры могут включать выпуск соответствующего обновления безопасности. В то же время, Microsoft считает, что обнаруженная уязвимость не представляет большой угрозы для пользователей, и не называет конкретных сроков выпуска обновления.

Эндрю Стормс, руководитель отдела безопасности в компании nCircle Security, полагает, что Microsoft не будет торопиться с выпуском обновления, если только реальные атаки на SSL не начнут происходить в больших количествах.

"До тех пор, пока мы не увидим широкого распространения атак, я не думаю, что на компанию [Microsoft] будет оказываться большое давление с целью заставить их выпустить обновление вне месячного цикла, - говорит Стормс. - И обратите внимание, что по сути это не является проблемой Microsoft. Проблема является системной и связана с реализацией криптографии, затрагивающей множество поставщиков ПО".

Internet Explorer использует реализацию SSL и TLS соответствующей операционной системы Windows, поэтому Microsoft планирует выпустить патч для операционных систем, а не для браузеров. Windows 7 и Windows Server 2008 R2 поддерживают TLS 1.1, однако из-за почти полного отсутствия поддержки этого протокола веб-сайтами этот протокол по умолчанию не используется. Microsoft признаёт значимость угрозы, однако при этом считает, что возможные атаки на SSL являются непрактичными.

"В некоторых случаях атакующий может расшифровать SSL-трафик [...], однако существуют значительные сдерживающие факторы, которые могут затруднить атаку или сделать её невозможной вовсе", - сообщают исследователи из Центра безопасности Microsoft.

Для того, чтобы защититься от атак, перед тем, как связываться с некоторым сайтом по протоколу HTTPS, пользователям следует закрыть все закладки в браузере. "Если пользователь выйдет из своей учётной записи, завершив HTTPS-сессию, перед тем, как начать просматривать другие HTTP-сайты или ненадёжные HTTPS-сайты, пользователь не будет подвержен риску быть атакованным" - поясняют исследователи.

Компания Google уже выпустила dev- и beta-версию своего браузера Chrome, в которых возможность атак со стороны кода, подобного BEAST, заблокирована.

Компания Mozilla, в свою очередь, заявила, что, несмотря на то, что Firefox полагается на TLS 1.0, сам браузер SSL-атакам не подвержен. "Для проведения атаки необходимо полностью контролировать данные, передаваемые через соединения, возникающие со стороны браузера, чего Firefox просто не позволяет", - написано в блоге компании.

В то же время, Mozilla подтвердила, что исследователи, создавшие BEAST, обнаружили уязвимость в плагине Java, которая, всё-таки, позволяет провести атаку. Для защиты от подобных атак Mozilla призывает пользователей Firefox отключить плагин Java. Компания также пытается оценить целесообразность отключения плагина Java во всех своих установках Firefox.

Оценитe материал
рейтинг: 3.7 из 5
голосов: 14

Возможно вас заинтересует

Сейчас обсуждают