rss Twitter Добавить виджет на Яндекс
Реклама:
     
 
 
 
     
     
 
 
 
     
     
 

Новая уязвимость Poodle используется для перехвата конфиденциальных данных пользователей

Qrator Labs, специализирующаяся на противодействии DDoS-атакам, и Wallarm, разработчик решения для защиты веб-приложений от хакерских атак, сообщают о возникновении новой угрозы, связанной с обнаружением критической уязвимости Poodle, которая позволяет злоумышленникам считывать пользовательские данные, передаваемые с использованием протокола SSL 3.0.

Уязвимость Poodle дает возможность хакерам, перехватывая трафик, расшифровывать запросы пользователей и получать доступ к конфиденциальной информации, например, к паролям, данным запроса, файлам Cookies, в которых содержатся личные данные клиентов, и пр. Критическая уязвимость (CVE-2014-3566) была обнаружена не в отдельной реализации SSL 3.0, а в самой спецификации протокола. Уязвимыми являются все реализации SSL 3.0, от свободной OpenSSL до коммерческих библиотек, поставляемых по умолчанию с распространёнными операционными системами.

Даже в случае, если сервер использует протокол TLS наряду с SSL 3.0, он всё равно остаётся уязвимым, поскольку атакующий может определённым образом спровоцировать принудительное применение SSL 3.0.

Опасность для пользователей состоит в раскрытии конфиденциальных данных, поскольку злоумышленник может получить доступ к их аккаунтам на сервере, поддерживающем протокол шифрования SSL 3.0. Авторизация в протоколе HTTP основана на передаче секретных токенов от пользователя к серверу. Злоумышленник, контролирующий промежуточный трафик (например, точку доступа WiFi), используя уязвимость Poodle, может частично расшифровывать SSL3-трафик, получая доступ к авторизационным данным.

«В очередной раз мы видим, что ошибки бывают не только в реализациях протоколов шифрования, но и в их спецификациях, даже написанных лучшими в мире специалистами. К этому всегда нужно быть готовым и своевременно реагировать на возникающие угрозы. Мы опробовали отключение SSLv3 и не зарегистрировали проблем с доступностью у легитимных пользователей. С завтрашнего дня мы прекращаем поддержку SSLv3 по умолчанию, оставляя только современные безопасные протоколы TLS», — комментирует Александр Лямин, руководитель Qrator Labs.

Более совершенный стандарт TLS не подвержен этой уязвимости, поэтому системным администраторам и конечным пользователям рекомендуется отключить поддержку SSL 3.0, поскольку, не сделав этого, невозможно сохранить приватность данных. Все современные операционные системы также поддерживают TLS, поэтому отключение SSL 3.0 не повлечёт за собой существенных проблем в работе.

«Уязвимость Poodle открывает для злоумышленника еще одну возможность расшифровать данные, которые передаются между сервером и клиентом по SSL. Это, безусловно, серьезная уязвимость, но она не идет ни в какое сравнения по опасности с нашумевшим Heartbleed, когда брешь позволяла читать оперативную память с удаленного сервера», — говорит Иван Новиков, генеральный директор Wallarm.

Редактор раздела: Алена Журавлева (info@mskit.ru)

Рубрики: Безопасность

Ключевые слова: информационная безопасность сетей, информационная безопасность защита, безопасность информационных систем обеспечение безопасности, анализ информационной безопасности, информационная безопасность организации, безопасность, информационная безопасность, сетевая безопасность, системы безопасности, защита персональных данных, персональные данные

наверх
 
 
     

А знаете ли Вы что?

     
 

MSKIT.RU: последние новости Москвы и Центра

20.10.2022 Информационная нацбезопасность в формате agile

NNIT.RU: последние новости Нижнего Новгорода

ITSZ.RU: последние новости Петербурга