IT формат электронный журнал
«    Август 2020    »
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
 

Уязвимость в сертификате PayPal...

Уязвимость в сертификате PayPal
Уязвимость в сертификате PayPal

 Хакеры опубликовали фальшивый SSL-сертификат ("нуль-префикс сертификат"), эксплуатирующий дыру в библиотеке CryptoAPI от Microsoft, с которой работают Internet Explorer, Google Chrome или Apple Safari.

Хотя сертификат поддельный, все три браузера принимают его за настоящий SSL-сертификат, подтверждающий подлинность PayPal. Несмотря на то, что данный баг был продемонстрирован Мокси Марлинспайком более девяти недель назад, в Microsoft его все еще не закрыли.

Проблема связанная с уязвимостью на столько значительна, что опубликованный в понедельник демонстративно фальшивый сертификат, всё равно можно использовать вместе с выпущенной ранее хакерской утилитой SSLSniff и добиться того, что браузеры не будут выдавать никакого предупреждения при переходе на подставную страницу, даже если ее адрес начинается с "https".

Для PayPal – это серьезный удар по сетевой безопасности, поскольку теперь киберпреступники могут с легкостью преодолевать одну из самых старейших и надежных систем защиты от атак "man-in-the-middle", которую также используют тысячи других финансовых веб-сайтов.

По заявлению PayPal - они уже занимаются решением проблемы.

Атака оновывается на том, что в CryptoAPI все знаки, следующие за символами "\" и "0", игнорируются.

Чтобы воспользоваться дырой, злоумышленнику нужно получить обычный сертификат своего сайта, а затем вставить его имя и символ "0" сразу же после названия ресурса, за который он желает выдать нужный ему веб-сайт.

В случае с PayPal строка будет выглядеть примерно так:

www.paypal.com\0ssl.secureconnection.cc

Сообщество Mozilla оперативно пропатчила этот баг, и Firefox 3.5 или 3.0.13 и выше можно использовать, не опасаясь злоумышленников.

Компания Apple, последовав примеру Mozilla, закрыла уязвимость.

Теперь слово за Microsoft.

 

Источник : http://www.xakep.ru

  Теги: Paypal, уязвимость, сертификат
Обсудить на форуме
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
  • 0
 (голосов: 0)
Комментарии (0)  Распечатать
Информация

Посетители, находящиеся в группе Гости, не могут оставлять комментарии в данной новости.







1 января 1970 00:00 - XML error: Attribute without value at line 71



Электронный журнал ITФормат 2006-2010 ©
Редакция          Реклама у нас
Dr. web