شماره: IRCNE200911483
يك نقص امنيتي اصلاح نشده در پروتكلهاي TLS و SSL كه معمولا براي رمزگذاري صفحات وب مورد استفاده قرار ميگيرند، به صورت عمومي منتشر شدند.
محققان امنيتي نقص امنيتي موجود در TLS را روز چهارشنبه آشكار كردند به دنبال آن، نقص امنيتي جداگانه اما مشابهي نيز در پروتكل SSL كشف كردند. نوعا پروتكلهاي TLS و SSL توسط فروشندگان آنلاين و بانكها براي تامين امنيت معاملات روي وب مورد استفاده قرار ميگيرند.
بنا به گفته اين محققان كه با شركت PhoneFactor همكاري ميكنند، آنها اين نقص امنيتي را در ماه آگوست كشف كرده و سپس كد سوء استفاده كننده از آن را نيز در آغاز سپتامبر ايجاد كرده اند.
اين محققان در يك مقاله فني اظهار داشتند كه نقص امنيتي موجود در پروسه تاييد هويت TLS به يك فرد بيروني اجازه ميدهد كه كنترل مرورگر يك كاربر معتبر را در دست گرفته و خود را به جاي وي جا بزند. به گزارش اين محققان، در طول پروسه تاييد هويت رمز شده كه در آن يك مجموعه از تعاملات بين كلاينت و سرور اتفاق مي افتد، پيوستگي تاييد هويت از سرور به كلاينت دچار وقفه ميگردد. اين موضوع به فرد مهاجم فرصتي ميدهد كه جريان داده را در كنترل بگيرد. بعلاوه، اين نقص امنيتي امكان حملات man-in-the-middle بر عليه سرورهاي امن پروتكل انتقال ابرمتن (Https) را نيز فراهم مي آورد.
اين محققان پس از پيدا كردن اين نقايص، آن را به «كنسرسيوم صنعتي براي افزايش امنيت در اينترنت (ICASI)» كه يك انجمن تشكيل شده از شركتهاي سيسكو، IBM، اينتل، Juniper Networks، مايكروسافت و نوكيا است معرفي كردند. همچنين در اين مورد به IETF و تعدادي از پروژه هاي پياده سازي SSL متن باز نيز هشدار دادند.
- 3