万界天尊 390-444 章 听书 小说 繁简字幕 已完结
缺陷在于SSL协议,最着名的是用于以HTTPS开始的网站上的安全浏览技术,并允许攻击者利用所谓的中间人攻击来拦截计算机之间的安全SSL(安全套接字层)通信。
虽然该缺陷只能在某些情况下被利用,但也可以用于攻击共享服务器托管环境,邮件服务器,数据库和许多其他安全应用程序,根据研究该问题的安全研究人员Chris Paget。
[进一步阅读:如何从Windows PC删除恶意软件]
“这是一个协议级缺陷“。说,Paget,首席技术官与安全咨询公司H4rdw4re。 “有很多东西需要修复:Web浏览器,Web服务器,Web负载均衡器,Web加速器,邮件服务器,SQL Server,ODBC驱动程序,对等协议。”虽然攻击者首先需要攻击受害者的网络来发起中间人攻击,但结果将是毁灭性的 - 特别是如果用于有针对性的攻击以访问数据库或邮件服务器,Paget说。
由于SSL的使用非常广泛,所以SSL始终处于安全研究人员的显微镜下。去年年底,研究人员发现了一种创建虚假SSL证书的方法,任何浏览器都会信任它,并且在八月份,研究人员发布了一些可能危及SSL流量的新攻击。但与那些与用于管理SSL数字证书的基础设施相关的攻击不同,这个最新的错误在于SSL协议本身,并且将更难修复。
更复杂的是事实是错误是不经意的周三在一个不起眼的邮件列表上被披露,这迫使厂商疯狂地争先恐后地修补他们的产品。
这个问题是在手机安全公司PhoneFactor的研究人员发现的。过去两个月,他们与一个名为ICASI(互联网安全促进行业联盟)的技术供应商联盟一起工作,以协调解决该问题的行业范围,称为“Mogul项目”。
但他们的周三,当SAP工程师马丁雷克斯自己偶然发现错误时,周密的计划陷入了混乱之中。他显然没有意识到问题的严重性,并将他对这个问题的看法发布到IETF(互联网工程任务组)讨论列表中。然后由安全研究员HD Moore公布,到周三下午,有足够的人在谈论这个问题,即电话因素决定公开他们的发现。 “那时候我们觉得坏人知道,我们觉得我们也有责任让好人知道,”PhoneFactor市场营销副总裁Sarah Fender说道。
Fender无法说谁准备好了补丁这个问题,但她指出,一些开源产品“急于”推出补丁。 “我认为我们会在不久的将来看到一些补丁,”她说,“周三晚上,ICASI无法联系评论。”尽管安全专家表示,这个漏洞可能存在多年,但并非如此被认为在任何袭击中都被利用过“
”虽然我们认为这是一个重大漏洞,但这并不是世界末日,“Fender说,”