又一重大漏洞现身 “疯怪”危及世界互联网安全

本文讲的是又一重大漏洞现身 “疯怪”危及世界互联网安全,安全专家警告,一个潜伏多年的安全漏洞将危及计算机与网页间的加密连接,导致苹果和谷歌产品的用户在访问数十万网站时遭到攻击,包括白宫、国家安全局和联邦调查局的网站,并危及世界互联网安全。

该漏洞被称为“疯怪”(Freak),是一个针对安全套接层协议(SSL)以及传输层安全协议(TSL)的漏洞。通过它,攻击者将得以实施中间人窃听攻击。该漏洞危及到大量网站、苹果的Safari浏览器、谷歌的Android操作系统,以及使用早于1.0.1k版本的OpenSSL的用户。

问题起源于美国在上世纪90年代早期施行的出口限制政策,它禁止了美国的软件制造商向海外出口带有高级加密功能的产品。当出口限制政策放宽后,由于有些软件仍旧依赖于旧版加密协议,出口版产品的加密功能依然没有得到升级。疯怪使得攻击者能够将安全性很强的加密连接降级成“出口级”,从而使其易于攻破。

很多谷歌和苹果的产品,以及嵌入式系统都使用OpenSSL协议,这些服务器和设备都将受到威胁。使用RSA_EXPORT加密套件的设备均有风险,疯怪(FREAK)漏洞的名称正取自于“RSA_EXPORT素数攻击”的英文首字母(Factoring attack on RSA-EXPORT Keys)。

攻击者在加密连接的建立过程中进行中间人攻击,可以绕过SSL/TLS协议的保护,完成密钥降级。降级后的512位密钥可以被性能强大的电脑破解。

当今的协议使用更长的加密密钥,比如作为加密标准的2048位RSA。512位密钥在20年前属于安全的加密方法,但今天的攻击者利用公有云服务将很容易破解这些短密钥。

上世纪90年代,破解512位密钥需要大量计算;如今利用亚马逊弹性计算云,则只需要大约7小时,花费100美元。

企业在修补漏洞方面动作迅速。苹果和谷歌均表示,已经开发了补丁,并将很快向用户推送。CDN服务商Akamai公司的负责人表示,已经对其网络进行修补,但是很多客户端仍暴露在风险中。“我们没办法修补客户端,但是我们可以通过禁用‘出口级’密码来解决该问题。这个漏洞的起源在客户端,我们已经在和客户联系,让他们进行变更了”。

该漏洞由微软研究院和法国国家信息与自动化研究所共同发现。关于疯怪漏洞的学术论文将在今年五月份举行的IEEE安全与隐私会议上发表。

时间: 2024-12-06 18:39:12

又一重大漏洞现身 “疯怪”危及世界互联网安全的相关文章

XP停服后首个高危漏洞现身 金山毒霸率先防御

4月28日消息,微软昨日公布了一个新的安全漏洞,影响包括WindowsXP在内的众多操作系统的IE浏览器.这是微软停止Windows XP技术支持后发现的首个影响较大的安全漏洞.微软此次将不会为XP用户推送安全更新,但金山毒霸已率先实现了此漏洞的攻击防护.这是一个远程代码执行漏洞,编号为KB2963983.漏洞攻击方式是比较典型的网页挂马攻击,攻击者往往构造一个特别制作的网站,诱导受害者使用IE浏览器点击查看此网页,攻击者趁机执行任意代码.目前已知的攻击代码(POC)是一个swf样本(Flash

Adobe Flash最新零时差漏洞现身Windows平台

上周,Adobe Flash又出现新的重要漏洞,影响层面几乎遍及所有微软Windows 用户,需特别防范! Flash"零时差"漏洞袭来 黑客可轻松植入恶意程序 近日,Adobe 在Microsoft Windows平台的Flash软件中发现一个新的漏洞,黑客可通过该漏洞在Windows 电脑上轻易执行恶意程序,由于被执行的程序将享有与用户相同的权限,使得黑客能在用户电脑上轻易植入更多恶意程序! 与过去所发现的Adobe漏洞不同的是:这次漏洞是"零时差"漏洞,也就是

新漏洞现身:或成另一个WannaCry

网络安全研究人员于日前称,在使用广泛的一种网络软件中新被发现的一个漏洞令数以万计的电脑可能容易遭受类似于WannaCry病毒的攻击,这种病毒已导致全球范围内的30多万台电脑受到了感染. 美国国土安全部周三宣布了这个漏洞,并敦促用户和管理员打好补丁以防感染.该漏洞可被黑客利用来接管受感染的电脑. 网络安全公司Rapid7的丽贝卡·布朗(Rebekah Brown)向路透社表示,自这个漏洞被发现以来已经过去了12个小时,期间尚无迹象表明有黑客已经利用了这个漏洞.但她表示,研究人员仅花了15分钟就利用

游戏安全资讯精选 2017年 第七期:游戏账号窃取日益猖獗,Struts2 REST插件远程执行命令漏洞全面分析,2017世界物联网博览会IoT安全观点

  [每周游戏行业DDoS态势]     [游戏安全动态] 游戏账号窃取日益猖獗,游戏运维人员如何做好防范?点击查看原文   概要:盗取游戏账号主要目的是获取个人信息在暗网售卖,并且用账号.虚拟货币.虚拟装备来盈利,这也意味着,游戏行业越发达,安全风险也就越高,因为攻击者的盈利空间越大. 作为游戏公司,可定期引导玩家去检查自己的账户密码是否受到数据泄露的影响:如果遇到游戏账号丢失或大面积被窃取,游戏公司需要尽快做好沟通:安全运维人员要随时关注登录游戏的活跃IP,如果遇到IP增加的情况,则需要及时

重大漏洞Freak现身,危及安卓苹果(C)

问题描述 安全专家警告,一个潜伏多年的安全漏洞将危及计算机与网页间的加密连接,导致苹果和谷歌产品的用户在访问数十万网站时遭到攻击,包括白宫.国家安全局和联邦调查局的网站,并危及世界互联网安全.该漏洞被称为"疯怪"(Freak),是一个针对安全套接层协议(SSL)以及传输层安全协议(TSL)的漏洞.通过它,攻击者将得以实施中间人窃听攻击.该漏洞危及到大量网站.苹果的Safari浏览器.谷歌的Android操作系统,以及使用早于1.0.1k版本的OpenSSL的用户.问题起源于美国在上世纪

关于“堵塞”你需要知道的三件事

本文讲的是 关于"堵塞"你需要知道的三件事,近两天"堵塞"(Logjam)漏洞的信息已在业内传播开来,但漏洞发现人员撰写的技术报告非常学术难懂,对于业内非专业技术人员来说,想了解这个漏洞只需明白以下三个问题即可: 一.什么是迪菲-赫尔曼(Diffie-Hellman)? DH是一种密钥交换协议,用来在通信双方建立会话密钥.像HTTPS.SSH.IPsec.SMTP以及基于TLS的安全连接协议都可以使用DH会话密钥来安全传输数据. 比较普遍的DH应用的例子:网上银行交

金山发布橙色安全预警:多款安卓手机管理软件存WiFi漏洞

近日360手机精灵.豌豆荚.腾讯手机助手等多款安卓(Android)手机管理软件曝出安全漏洞,在公共WiFi环境下,安卓手机用户可能会被处于同一网络的攻击者盗取所有个人隐私信息,金山安全中心分析认为,这 是目前为止国内最严重的智能手机安全风险,金山网络发布橙色安全预警,提醒广大安卓用户尽快升级软件程序修复漏洞. 危及数千万用户 随着移动互联网的快速发展,手机管理软件几乎已经成为智能手机的必备工具.它主要是方便智能手机与电脑之间的内容同步,用户通过该软件,可在电脑中直接管理手机中的通讯录.短信.照

解析检查——存储型XSS漏洞解决方案

编者按:Web2.0时代,XSS漏洞不容小觑.特别是在UGC业务,支持"安全的"HTML是业务必须的特性,这就对UGC安全过滤器要求特别高,稍有不慎就会出现存储XSS漏洞.整篇文章着眼点在"方案",后续有机会我们还可以说说API的运营故事(这个元老级项目故事很多).通过对API的精细化运营是可以发现0day漏洞的--API自身的,甚至包括浏览器.比如CVE-2009-1862.CVE-2011-2458 以及一些其他八卦.存储型XSS漏洞,这个作为漏洞界的元老级漏洞

蓝雨设计整站SQL注入漏洞_漏洞研究

本来是投稿文章来的,因为稿件的问题所以就上不了杂志,再加上最近有些人在网站留言说三道四的猜测蓝雨的问题,所以我就公开漏洞预警所说的漏洞,官方已经把版本都打了补丁,当然有些使用网站至今还是存在着SQL注入漏洞的,所以一切后果与我以及BCT小组无关  最近无聊,在网上走来走去看看.发现现在的整站系统可是越来越多了,修改版本等等的N多阿!而蓝雨设计整站的使用者也越来越多了,蓝雨整站系统是从NOWA 0.94修改而来的!基于NOWA的系统不单指蓝雨一个还有很多的!我在此就不一一列举了,核心都是一样,只是