SCP-076 Able | object class keter | Humanoid / Hostile / sentient scp
חוקרים בתחום האבטחה מצאו כמה פגמים רציניים בתוכנה המשתמשת בפרוטוקול הצפנת SSL (Secure Sockets Layer) המשמש לאבטחת תקשורת באינטרנט.
בכינוס Black Hat בלאס וגאס ביום חמישי, חוקרים חשפו מספר התקפות שניתן להשתמש בהן כדי להתפשר על אבטחה תנועה בין אתרי אינטרנט לבין דפדפנים.
סוג זה של התקפה עלול לאפשר לתוקף לגנוב סיסמאות, לחטוף הפעלה בנקאית מקוונת או אפילו לדחוף עדכון דפדפן פיירפוקס שהכיל קוד זדוני. קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]
הבעיות טמונות באופן שבו דפדפנים רבים יישמו SSL, וגם במערכת התשתית הציבורית X.509 המשמשת לניהול האישורים הדיגיטליים המשמשים על ידי SSL כדי לקבוע אם אתר אינטרנט הוא אמין.חוקר אבטחה קורא לעצמו Moxie Marlinspike הראה דרך ליירט את התנועה SSL באמצעות מה שהוא מכנה תעודת סיום null. כדי לבצע את ההתקפה שלו עבודה, Marlinspike חייב קודם לקבל את התוכנה שלו על רשת תקשורת מקומית. לאחר ההתקנה, הוא ספוט תנועה SSL ומציג תעודת סיום null שלו כדי ליירט תקשורת בין הלקוח לבין השרת. סוג זה של התקפת אדם באמצע הוא בלתי ניתן לגילוי, הוא אמר. ההתקפה של מרליספייק דומה להפליא להתקפה נפוצה אחרת הידועה בשם התקפת הזרקת SQL, ששולחת נתונים בעלי מבנה מיוחד לתוכנית בתקווה להטעות אותה עושה משהו שהוא לא צריך לעשות בדרך כלל. הוא מצא שאם הוא יצר אישורים עבור תחום האינטרנט שלו, שכלל תווים ריקים - לעתים קרובות מיוצג עם 0 - חלק מהתוכניות יפרש את האישורים באופן שגוי.
הסיבה לכך היא שתוכניות מסוימות מפסיקות לקרוא טקסט כשהם רואים תו ריק. לכן, הבעיה היא נפוצה, אמר מרליספייק, המשפיעה על Internet Explorer, VPN (רשת וירטואלית פרטית) תוכנה, לקוחות דואר אלקטרוני ותוכנות להעברת הודעות מיידיות וגירסת פיירפוקס 3.
כדי להחמיר את המצב, חוקרים דן קמינסקי ולן סאסמן דיווחו כי הם גילו כי מספר גדול של תוכניות אינטרנט תלויים בתעודות שהונפקו באמצעות הצפנה מיושנת טכנולוגיה הנקראת MD2, אשר מזה זמן רב נחשב חסר ביטחון. MD2 לא ממש סדוק, אבל זה יכול להיות שבור בתוך כמה חודשים על ידי תוקף נחוש, אמר קמינסקי.
אלגוריתם MD2 שימש לפני 13 שנים על ידי VeriSign כדי לחתום על עצמי "אחד הסמכות שורש הליבה ב כל דפדפן על פני כדור הארץ ", אומר קמינסקי.
עם זאת," מספר גדול של אתרי אינטרנט משתמשים בשורש זה, כך אמר קמינסקי. אנחנו לא יכולים להרוג את זה או שאנחנו נשבור את הרשת ", אומר קמינסקי. אבל יצרני התוכנה יכולים לומר למוצרים שלהם לא לסמוך על תעודות MD2; הם יכולים גם לתכנת את המוצרים שלהם לא להיות חשופים להתקפה על ביטול null. עד כה, עם זאת, פיירפוקס 3.5 הוא הדפדפן היחיד שתיקן את הבעיה של סיום ה- null.
זוהי הפעם השנייה בחצי השנה האחרונה ש- SSL עבר בדיקה. בסוף השנה שעברה, חוקרים מצאו דרך ליצור רשות אישורים סוררת, שעשויה להנפיק תעודות SSL מסודרות שיהיו אמינות על ידי כל דפדפן.
Kaminsky and Sassaman אומרים שיש רפסודה של בעיות באופן שבו תעודות SSL אשר הופכים אותם ללא ביטחון. כל החוקרים הסכימו כי מערכת x.509 המשמשת לניהול אישורים עבור SSL אינה מעודכנת ויש לתקן אותה.
Adobe Reader, IE 7 חורים תחת התקפה
פלוס: קרא על פגמים חדשים ב- Firefox, RealPlayer ו- Visio ותיקוניהם. אם היית נוכל אינטרנט, הפריט הבא יהיה מוסיקה לאוזניים: פגם של יום אפס - חור אבטחה ללא תיקון זמין לפני שניתן יהיה להפעיל התקפות - קיים ב- Adobe Reader ו- Acrobat, וניתן לנצל אותו קובץ PDF מורעל בניסיון להשתלט על מחשב פגיע.
תיקון יום שלישי תיקונים חורים אפס חמור יום, מותיר עוד פתח
מחזור חודשי של מיקרוסופט תיקון סוגר שני פגמים תחת לתקוף מעורבים ActiveX ו QuickTime קבצים חורים אבטחה אחרים.
חלונית המשימות `שחזור מסמך` מכילה כמה קבצים שנמצאו
אם מופיעה הודעה - חלונית המשימות `שחזור מסמך` מכילה קבצים שנמצאו כי לא נפתח, בכל פעם שאתה מפעיל את Microsoft Word, PowerPoint או Excel אז הודעה זו תעזור לך לתקן את הבעיה.