Microsoft bietet Ideen für Benutzer, die BESTIE-Bedrohung zu schlagen

2014-01-08  |  Comebuy News

Microsoft drängt Kunden anfällige Versionen von SSL auf eine neuere zu aktualisieren, die nicht anfällig für eine kürzlich veröffentlichte Exploit namens BEAST ist, aber in der Zwischenzeit empfiehlt es Schritte, die zum Opfer fallen, wird das Risiko zu verringern.

Comebuy Verwandte Artikel: Sicherheitslücke ist in Windows nicht IEMicrosoft Konturen Explorer 7.0 ChangesBreached SSL Sicherheitszertifikat, unterbricht die Behörde SalesFirefox, Mozilla und Opera schlug durch Täuschung FlawSensitive Daten durch SSL-Verschlüsselung Mängel gefährdet

Die ultimative Lösung für das Problem, bekannt als Browser nutzen gegen SSL/TLS (BEAST), Upgrade auf die neueste Version des Protokolls TLS 1.1. TLS ist der offizielle Name für was immer noch häufig als SSL bezeichnet wird. Das Problem ist bei TLS 1.0 und früheren SSL/TLS-Versionen.

Daten-Verletzung-quiz

Aber da das Upgrade zeitaufwendig ist und nicht alle Browser - Firefox zum Beispiel - TLS 1.1 unterstützen, Microsoft empfiehlt stattdessen Neukonfiguration der Reihenfolge, in der ältere Versionen von SSL/TLS die Verschlüsselungssammlungen Rang, des Protokolls zwischen Servern und Clients verhandelt.

BESTIE entschlüsselt secure-HTTP-Anforderungen, Kommunikation zwischen Browser und Server Einrichten von HTTPS-Sitzungen wie die zwischen Banken und ihren online-Kunden. BEAST ist ein Java-Skript, die nutzt eine Schwachstelle gefunden, wenn SSL Stromchiffren, anstatt Blockchiffren verwendet.

Das Update Microsoft empfiehlt, das Ändern der Reihenfolge, in der SSL/TLS Verschlüsselungssammlungen verhandelt, so dass Stromchiffren zuerst betrachtet werden. Es ist nicht Failsafe, denn es gibt keine Garantie, dass das Gerät am anderen Ende den Stream Cipher Vorschlag akzeptieren wird.

Tier zeigte sich Forscher Juliano Rizzo und Thai Duong, der zeigte, dass Authentifizierungstokens und Cookies von HTTPS-Anforderungen entschlüsselt werden kann. Die Quintessenz ist, dass Angreifer Benutzer Sitzungen entführen können. Wenn die Sitzung mit einer Bank ist, z. B. könnte der Angreifer des Opfers Mittel stehlen.

Die Sicherheitslücke ist seit 2004 bekannt, aber der Konsens war, dass es konnte nicht ausgenutzt werden. TLS 1.1, der die Sicherheitsanfälligkeit behebt, wurde im Jahr 2006 von der IETF definiert, aber ist nicht allgemein eingeführt worden, weil das Risiko niedrig gehalten wurde und Änderungen, die sie enthält einige Websites bricht.

Die Schwachstelle, die BESTIE nutzt hat keinen Bezug zur Gefährdung von SSL durch die jüngsten Angriffe auf SSL-Zertifizierungsstellen. In diesen Fällen erteilt Angreifer falsche SSL-Zertifikate, dadurch fälschlicherweise Server und düpieren Opfer verleiten authentifizieren, waren sie an echten Standorten.

BESTIE entschlüsselt eigentlich SSL-Datenverkehr.

Lesen Sie mehr über WAN-Verbindung in Network World Wide Area Network Abschnitt.

« Back