Серьезная уязвимость была обнаружена в протоколах TLS и SSL, используемых для криптографической защиты веб-страниц и данных, передаваемых на сервер. Информация об уязвимостях уже доступна публично. Специалисты по ИТ-безопасности Марш Рей и Стив Диспенса представили сегодня представили данные об уязвимостях в обеих протоколах. Напомним, что TLS и его "веб-партнер" SSL, как правило, используются интернет-магазинами и банками для защиты интернет-транзакций. Оба специалиста, обнаруживших уязвимости, работают в компании PhoneFactor, создающей технологии двухфакторной аутентификации. По словам исследователей, уязвимость в SSL была найдена ими еще в августе, а в TLS - в начале сентября. В технических данных, представленных сегодня, сказано, что уязвимость в TLS кроется в процессе аутентификации. Потенциальный злоумышленник может вторгнуться в сессию легитимного пользователя и успешно перехватывать данные от пользователя и сервера. Проблема кроется в так называемой "дыре аутентификации": во время процесса криптографической аутентификации происходит серия электронных обменов контрольными данными между клиентом и сервером. Однако злоумышленник может подменить пакеты и нарушить процесс аутентификации, в дальнейшем пропуская пакеты данных через свой компьютер. В дополнение к этому, уязвимость позволяет реализовать практическую атаку против защищенного протокола https, представляющего собой комбинацию базового веб-протокола и TLS. Эксперты говорят, что проблема для большинства крупных пользователей довольно серьезная, так как популярность SSL и TLS очень и даже если сейчас обновить данные протоколы, то обновление многочисленного программного обеспечения с поддержкой данных технологий займет какое-то время. "Как насчет тысяч программ, в которых механизм SSL встроен как механизм внутренней связи с сетью?", - говорят специалисты британской TomBom.co.uk. Марш Рей и Стив Диспенса говорят, что уже некоторое время назад предоставили данные об уязвимости в консорциум ICASI (Industry Consortium for the Advancement of Security on the Internet), куда входят компании Cisco, IBM, Intel, Juniper, Microsoft и Nokia.
Полные данные об уязвимости доступны по адресу http://extendedsubset.com/Renegotiating_TLS.pdf