Logjam — новая уязвимость в TLS

Новая уязвимость под названием Logjam обнаружена в различных реализациях протокола TLS. Уязвимость аналогична другой под названием FREAK, о которой было написано ранее. Logjam также относится к типу «downgrade» и позволяет клиенту понизить стойкость шифрования до 512 бит RSA при условии поддержки сервером шифра DHE_EXPORT, который задается в процессе «рукопожатия» (handshake) между клиентом и сервером. Т. о. атакующему значительно проще организовать атаку типа Man-in-the-Middle (MitM). Уязвимость затрагивает как серверное ПО, использующее OpenSSL (Logjam, FREAK and Upcoming Changes in OpenSSL), так и веб-браузеры.



Уязвимости подвержены веб-браузеры Microsoft Internet Explorer, Mozilla Firefox, Google Chrome, Apple Safari. На текущий момент уязвимость исправлена только в IE, для которого было выпущено обновление MS15-055. В свою очередь, остальные браузеры ожидают обновления, как и пакет свободно распространяемого ПО OpenSSL. Уязвимость актуальна и для OS X, iOS, Android.
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Vladimir: TSMC может понести убытки из-за возможных пошлин США на тайваньские чипы
• VLESS+Reality и Multi-hop: Архитектура VPN-цепочки для нового поколения блокировок
• Laravel: электронная подпись на сервере с PDF визуализацией
• Perplexity запускает Comet — собственный AI-браузер, бросающий вызов Google
• OSINT на боевом рубеже: новый фронт военной разведки
• Блеск и ад p2p-торговли на Bybit
• Руководство по pgcrypto — шифрование внутри PostgreSQL. Часть 2
• Как я подружил Yandex Cloud и Gemini API без миграции на зарубежные сервера
• Деньги ушли в Telegram, а риэлтор — в тень: как россиян обманывают при покупке недвижимости в Таиланде
• Крепость под наблюдением: ставим Maltrail и ловим «шпионов» (Часть 2)