首页 > 菜鸟学院 > “历史遗留”漏洞:浅析新型SSL/TLS漏洞FREAK

“历史遗留”漏洞:浅析新型SSL/TLS漏洞FREAK

时间:2015-03-05 | 来源:互联网 | 阅读:53

话题:

“历史遗留”漏洞:浅析新型SSL/TLS漏洞FREAK

36%的SSL/TLS网站受到影响

“历史遗留”漏洞:浅析新型SSL/TLS漏洞FREAK

当我们对超过1.4亿支持SSL/TLS的网站进行扫描后,发现其中至少有36%的个体存在该漏洞,并支持出口级RSA加密。

在上世纪90年代,破解512位的密钥需要出动超级电脑。而今天,我们只需要花费7小时+约100美金,就可以轻松搞定这种加密机制。

如果用户正在使用一个含有漏洞的设备,我们可以尝试利用FREAK漏洞对它进行攻击。现在像安卓、苹果手机,以及运行OS X系统的苹果Mac电脑,如果该设备含有SSL/TLS协议漏洞,即使使用HTTPS网站后依然可能遭受中间人攻击。好在Windows和Linux用户,目前并未受到该漏洞影响。

FREAK漏洞与POODLE(贵宾犬)漏洞的相似性

FREAK与POODLE这两个漏洞还是有一定的相似性的,POODLE是利用安全套件进行降级回退攻击,强迫终端使用低版本SSL/TLS;而FREAK则只影响那些使用出口级RSA加密算法的版本。

“历史遗留”漏洞:浅析新型SSL/TLS漏洞FREAK

安全研究人员们正在维护一个含有漏洞的网站列表,并鼓励网站管理员启用向前保密(一对一限制访问),并且禁用对出口级套件的支持,其中包括所有已知的不安全加密机制。
您也可以使用在线SSL FREAK测试攻击,检测网站是否存在漏洞。

苹果和谷歌计划修复FREAK漏洞


谷歌公司表示安卓已经把补丁下发到合作厂商。同时谷歌也号召所有网站管理员,禁用对出口级认证的支持。而苹果公司也对此进行了回应,并表示:“我们下周进行软件升级时,会对iOS和OS X系统进行相应的漏洞修复。”

推荐

最新好玩手游

更多

手游风云榜

更多

资讯阅读

更多


湘ICP备2022002427号-10 湘公网安备:43070202000427号
© 2013~2024 haote.com 好特网