Z ITWorld – dlaczego strona MySQL została zainfekowana tak, że wysyłała złośliwe oprogramowanie do przeglądarek? Dlatego, że intruz wstrzyknął kod JS, który wykorzystał słabości zainstalowanych u klienta pakietów użytkowych (Adobe Reader, Flash i Java) – “Security vendor Armorize noticed the problem at around 5 a.m. Pacific Time Monday. Hackers had installed JavaScript code that threw a variety of known browser attacks at visitors to the site, so those with out-of-date browsers or unpatched versions of Adobe Flash, Reader or Java on their Windows PCs could have been quietly infected with malicious software.” – przez to zaraził komputery klientów. Potwierdza to fakt, że coraz więcej ataków wykorzystuje źle zaktualizowane programu użytkowe na stacji klienta. PSI firmy Secunia potrafi na bieżąco śledzić stan i wersje takiego oprogramowania – ten monitor jest bezpłatny.
Na temat nowego ataku SSL - http://windowssecrets.com/links/y6pkszr6i9uqd/e0c916h/?url=technet.microsoft.com%2Fen-us%2Fsecurity%2Fadvisory%2F2588513. Atak polega na przechwyceniu ciasteczek sesji w trakcie sesji HTTPS i odszyfrowaniu ich i co za tym idzie ukraść sesję. Atak się udaje w przypadku użycia protokołu TLS 1.0 i wykorzystaniu w nim kodowania CBC. Obejście polega na stosowaniu kodowania RC4 lub przejścia na protokół TLS 1.1 lub wyższy (ale nie wszystkie serwery internetowe go wspierają). W polityce grupowej można nadać RC4 wyższy priorytet - TLS_RSA_WITH_RC4_128_SHA.
Uwaga wg. NetworkWorld: ratunkiem przed potencjalnym atakiem jest ustawienie kolejności (priorytetu) w jakiej UZGADNIANE są algorytmy szyfrowania podczas sesji HTTPS (w czasie negocjacji specyfiki protokołu wymiany między klientem a serwerem). Podatność na atak (znana od 2004 i od 2006 organizacja IETF polecała mocniejszy protokół TLS 1.1, ale uważano, że nie da się jej wykorzystać) polega słabości algorytmu BLOKOWEGO CBC a nie strumieniowego.
Brak komentarzy:
Prześlij komentarz