Logjam — новая уязвимость в TLS

Новая уязвимость под названием Logjam обнаружена в различных реализациях протокола TLS. Уязвимость аналогична другой под названием FREAK, о которой было написано ранее. Logjam также относится к типу «downgrade» и позволяет клиенту понизить стойкость шифрования до 512 бит RSA при условии поддержки сервером шифра DHE_EXPORT, который задается в процессе «рукопожатия» (handshake) между клиентом и сервером. Т. о. атакующему значительно проще организовать атаку типа Man-in-the-Middle (MitM). Уязвимость затрагивает как серверное ПО, использующее OpenSSL (Logjam, FREAK and Upcoming Changes in OpenSSL), так и веб-браузеры.



Уязвимости подвержены веб-браузеры Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Apple Safari. На текущий момент уязвимость исправлена только в IE, для которого было выпущено обновление MS15-055. В свою очередь, остальные браузеры ожидают обновления, как и пакет свободно распространяемого ПО OpenSSL. Уязвимость актуальна и для OS X, iOS, Android.
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• MarketingNews: Getblogger добавил возможность размещения рекламы в мессенджере «Макс»
• Блог ленивого инвестора: Итоги недели: рост на ожиданиях, падение на факте
• Это — все что вам надо знать о белых списках: ресерч, сканы, обход
• Краткая история биометрии: как ПЦР-метод изменил идентификацию по ДНК
• Права в Linux: chown/chmod, SELinux context, символьная/восьмеричная нотация, DAC/MAC/RBAC/ABAC
• Как запустить VLESS + Reality на старом Intel iMac с macOS Catalina 10.15.8
• Кто выпустил гончую. Ищем следы коллекторов BloodHound в логах Windows
• HTML во вложении — это программа. Почему почтовые фильтры его пропускают и как SOC его ловит
• Как СМИ рождают “хакеров” и как сам Глава группировки слил секретные методы DDoS
• Погосян Марго: В топ-4 рынка с маскотом