Kerosakan Lubang SSL Buka Lalu Lintas Web Terjamin

Mengambil kesempatan daripada kelemahan itu memerlukan mengakses trafik rangkaian khusus antara pelanggan, seperti penyemak imbas Web, dan Web atau pelayan lain. Ini bermakna kebanyakan pengguna di rumah mungkin tidak disasarkan secara spesifik oleh salah satu daripada serangan yang berpotensi di tengah-tengah ini, menurut penyelidik Marsh Ray, penyelidik keselamatan di PhoneFactor, yang menyediakan penyelesaian pengesahan dua faktor berasaskan telefon.

Walau bagaimanapun, perniagaan dan organisasi mungkin sasaran. Per Ray, mana-mana lalu lintas yang dilindungi oleh SSL berpotensi menjadi terdedah, sama ada untuk laman web https, komunikasi pangkalan data yang selamat, atau sambungan e-mel yang selamat. Masalahnya tidak membenarkan mendekripsi dan mencuri data yang disulitkan SSL secara langsung, tetapi sebaliknya membolehkan memasukkan sebarang arahan ke dalam aliran komunikasi.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Itu akan menjadi cukup buruk untuk trafik https, di mana penyemak imbas Web boleh dibuat untuk menyiarkan data ke tapak yang dikawal oleh penyerang.

Ray berkata PhoneFactor pada mulanya mendapati cacat pada bulan Ogos semasa melakukan ujian keselamatan dalaman dan membuatnya tenang sementara vendor terjejas dan kumpulan perisian bekerja pada pembetulan. Tetapi dalam masa yang sama, seorang penyelidik bebas juga mendapati kekurangan dan berita itu pecah.

Patch sedang dijalankan tetapi belum tersedia. Pembetulan yang sedang dicadangkan akan memerlukan penampalan semua aplikasi klien dan pelayan, termasuk pelayar web, program e-mel dan apa-apa program lain yang menggunakan perpustakaan SSL, menurut Ray.

Post PhoneFactor mengenai masalah itu adalah di laman web syarikat, dan Penyelidik keselamatan bernama Chris Paget telah memaparkan pemikirannya mengenai subjek (tatal ke bawah untuk komen untuk melihat beberapa back-and-forth antara Ray dan Paget). Perkhidmatan berita IDG juga mempunyai kisah yang baik pada topik.