IE, Chrome и Safari одурачены поддельным SSL-сертификатом PayPal
06-10-2009 18:56
к комментариям - к полной версии
- понравилось!
Если во время проведения платежей через PayPal ты используешь Internet Explorer, Google Chrome или Apple Safari для Windows, самое время задуматься о переходе на более безопасный Firefox.
А все потому, что вчера один из хакеров опубликовал фальшивый SSL-сертификат, эксплуатирующий зияющую дыру в библиотеке CryptoAPI от Microsoft, с которой работают эти браузеры. Хотя сертификат поддельный, все три веб-обозревателя принимают его за легитимный SSL-сертификат, подтверждающий подлинность PayPal. Несмотря на то, что данный баг был продемонстрирован Мокси Марлинспайком более девяти недель назад, в Microsoft его все еще не закрыли.
Опубликованный в понедельник так называемый "нуль-префикс сертификат" для PayPal – это серьезный удар по сетевой безопасности, поскольку теперь киберпреступники могут с легкостью преодолевать одну из самых старейших и надежных систем защиты от атак "man-in-the-middle". PayPal и тысячи других финансовых веб-сайтов используют такие сертификаты для генерирования цифровой подписи, подтверждающей, что страница авторизации не была подсунута пользователю злоумышленниками, следящими за его попытками получить доступ к тому или иному ресурсу.
Несмотря на то, что опубликованный в понедельник сертификат является демонстративно фальшивым, его все равно можно использовать вместе с выпущенной ранее хакерской утилитой SSLSniff и добиться того, что браузеры не будут выдавать никакого предупреждения при переходе на подставную страницу, даже если ее адрес начинается с "https".
Представитель PayPal уже заявила о том, что в компании знают о существовании поддельного сертификата и работают над тем, чтобы предпринять все те действия, которые могут быть предприняты со стороны PayPal.
Последний сертификат использует уязвимость в CryptoAPI, позволяющую игнорировать все знаки, следующие за символами "\" и "0". Чтобы воспользоваться дырой, злоумышленнику нужно получить обычный сертификат своего сайта, а затем вставить его имя и символ "0" сразу же после названия ресурса, за который он желает выдать нужный ему веб-сайт.
В случае с PayPal строка будет выглядеть примерно так:
www.paypal.com\0ssl.secureconnection.cc
К счастью, разработчики из Mozilla пропатчили эту дыру уже через несколько дней после того, как о ней было рассказано на конференции BlackHat, а спустя несколько недель то же самое проделали и программисты Apple. Это значит, что если ты используешь Windows, то на данный момент единственным способом защитить себя от этого критического бага будет переход на Firefox 3.5 или 3.0.13 и выше. По крайней мере, пока Microsoft не устранит проблему.
вверх^
к полной версии
понравилось!
в evernote
Если во время проведения платежей через PayPal ты используешь Internet Explorer, Google Chrome или Apple Safari для Windows, самое время задуматься о переходе на более безопасный Firefox.
А все потому, что вчера один из хакеров опубликовал фальшивый SSL-сертификат, эксплуатирующий зияющую дыру в библиотеке CryptoAPI от Microsoft, с которой работают эти браузеры. Хотя сертификат поддельный, все три веб-обозревателя принимают его за легитимный SSL-сертификат, подтверждающий подлинность PayPal. Несмотря на то, что данный баг был продемонстрирован Мокси Марлинспайком более девяти недель назад, в Microsoft его все еще не закрыли.
Опубликованный в понедельник так называемый "нуль-префикс сертификат" для PayPal – это серьезный удар по сетевой безопасности, поскольку теперь киберпреступники могут с легкостью преодолевать одну из самых старейших и надежных систем защиты от атак "man-in-the-middle". PayPal и тысячи других финансовых веб-сайтов используют такие сертификаты для генерирования цифровой подписи, подтверждающей, что страница авторизации не была подсунута пользователю злоумышленниками, следящими за его попытками получить доступ к тому или иному ресурсу.
Несмотря на то, что опубликованный в понедельник сертификат является демонстративно фальшивым, его все равно можно использовать вместе с выпущенной ранее хакерской утилитой SSLSniff и добиться того, что браузеры не будут выдавать никакого предупреждения при переходе на подставную страницу, даже если ее адрес начинается с "https".
Представитель PayPal уже заявила о том, что в компании знают о существовании поддельного сертификата и работают над тем, чтобы предпринять все те действия, которые могут быть предприняты со стороны PayPal.
Последний сертификат использует уязвимость в CryptoAPI, позволяющую игнорировать все знаки, следующие за символами "\" и "0". Чтобы воспользоваться дырой, злоумышленнику нужно получить обычный сертификат своего сайта, а затем вставить его имя и символ "0" сразу же после названия ресурса, за который он желает выдать нужный ему веб-сайт.
В случае с PayPal строка будет выглядеть примерно так:
www.paypal.com\0ssl.secureconnection.cc
К счастью, разработчики из Mozilla пропатчили эту дыру уже через несколько дней после того, как о ней было рассказано на конференции BlackHat, а спустя несколько недель то же самое проделали и программисты Apple. Это значит, что если ты используешь Windows, то на данный момент единственным способом защитить себя от этого критического бага будет переход на Firefox 3.5 или 3.0.13 и выше. По крайней мере, пока Microsoft не устранит проблему.
Комментарии (1):
на Firefox 3.5.2, если точнее.
Старая, избитая истина - не завись от чужого кода или от кода, который ты не знаешь. Опера именно поэтому неуязвима для этого бага - потому что код весь самописный. В Файрфокс - то же самое.
Старая, избитая истина - не завись от чужого кода или от кода, который ты не знаешь. Опера именно поэтому неуязвима для этого бага - потому что код весь самописный. В Файрфокс - то же самое.
Комментарии (1):
вверх^
Вы сейчас не можете прокомментировать это сообщение.
Дневник IE, Chrome и Safari одурачены поддельным SSL-сертификатом PayPal | AHDPEiTheFox - AHDPEiTheFox |
Лента друзей AHDPEiTheFox
/ Полная версия
Добавить в друзья
Страницы:
раньше»