利用漏洞需要访问客户端(如Web浏览器)与Web或其他服务器之间的特定网络流量。这意味着大多数家庭用户可能不会被这些潜在的中间人攻击中的一个专门针对,据发现者PhoneFactor的安全研究员发现者Marsh Ray说,该公司提供基于电话的双因素身份验证解决方案。
但是,企业和组织可能是目标。 Per Ray表示,任何受SSL保护的流量都可能容易受到攻击,无论是用于https站点,安全数据库通信还是安全的电子邮件连接。该问题不允许直接解密和窃取SSL加密的数据,而是允许将任何命令插入通信流。
[更多阅读:如何从Windows PC删除恶意软件]
这将是对于https流量来说足够糟糕,因为受害者Web浏览器可能会将数据发布到攻击者控制的站点。 Ray说,PhoneFactor最初在8月份发现了缺陷,同时执行了内部安全测试,并在受影响的供应商和软件团队正在进行修复时保持安静。但与此同时,一位独立研究人员也发现了这个缺陷和消息。补丁正在进行中,但尚未提供。据Ray称,目前建议的修补程序需要修补所有客户端和服务器应用程序,包括Web浏览器,电子邮件程序和任何其他使用SSL库的程序。PhoneFactor关于该问题的帖子在公司网站上发布,一位名叫Chris Paget的安全研究员已经发表了他对这个主题的想法(向下滚动到评论中,看看Ray和Paget之间来回反复)。 IDG新闻服务也有一个关于这个话题的好消息。