Web SSL安全协议中发现更多空洞

安全研究人员发现一些漏洞在使用SSL（安全套接字层）加密协议来保护互联网上的通信的软件中存在严重缺陷

在周四拉斯维加斯举行的黑帽会议上，研究人员发布了一系列可能危及安全的攻击在网站和浏览器之间传输的流量

研究人员说，这种攻击可以让攻击者窃取密码，劫持一个在线银行会话，甚至推出包含恶意代码的Firefox浏览器更新。进一步阅读：如何从Windows PC中删除恶意软件]

问题在于许多浏览器实施SSL的方式，以及用于管理所用数字证书的X.509公钥基础结构系统通过SSL来确定网站是否可信。

一名自称为Moxie Marlinspike的安全研究人员展示了一种使用他称之为空终止证书的SSL流量拦截方法。为了使他的攻击工作，Marlinspike必须先在局域网上获得他的软件。安装完成后，它会发现SSL流量并显示其空终止证书，以拦截客户端与服务器之间的通信。他表示，这种类型的中间人攻击是无法检测到的。

Marlinspike的攻击与另一种常见攻击（称为SQL注入攻击）非常相似，后者将特制数据发送给程序，希望将其篡改为做一些它通常不应该做的事情。他发现如果他为自己的Internet域创建包含空字符（通常用 0表示）的证书，某些程序会错误解释证书。

这是因为某些程序在看到空字符时会停止阅读文本。因此，颁发给www.paypal.com 0.thoughtcrime.org的证书可能被认为属于www.paypal.com。

Marlinspike说，问题非常普遍，影响Internet Explorer，VPN（虚拟专用网络）软件，电子邮件客户端和即时通讯软件以及Firefox版本3.

更糟糕的是，研究人员Dan Kaminsky和Len Sassaman报告说，他们发现大量Web程序依赖于使用过时加密被称为MD2的技术一直被认为是不安全的。 Kaminsky说，MD2实际上没有被破解，但它可能在几个月内被坚定的攻击者破坏，VeriSign在13年前使用MD2算法自行签署了“核心根证书之一” “Kaminsky说，”VeriSign在5月份停止使用MD2签署证书，VeriSign产品营销副总裁Tim Callan表示，“但是，”大量的网站使用这个根，所以我们不能杀死它，否则我们会破坏网络，“Kaminsky说，”但是，软件制造商可以告诉他们的产品不信任MD2证书;他们也可以将他们的产品编程为不容易受到零终止攻击。研究人员表示，迄今为止，Firefox 3.5是唯一修补了空终止问题的浏览器。

这是SSL在过去半年中第二次受到审查。去年年底，研究人员发现了一种创建流氓证书颁发机构的方法，该颁发机构又可以颁发任何浏览器都信任的虚假SSL证书。

Kaminsky和Sassaman表示，SSL证书的方式存在大量问题发布，使他们不安全。所有研究人员都认为用于管理SSL证书的x.509系统已经过时，需要修复。