เมื่อสองเดือนก่อนมีรายงานช่องโหว่ของ Certificate ที่สามารถปลอมตัวเป็นเว็บอื่นได้จากปัญหาการนิยามมาตรฐาน ในวันนี้ก็เริ่มมีรายงานว่ามีการสร้าง Certificate ปลอมของ Paypal ทำให้เว็บตัวปลอมสามารถสวมรอยตัวเองเป็น Paypal ได้โดยเบราเซอร์ไม่เตือนใดๆ

ปัญหา Null Prefix เป็นปัญหาที่เกิดขึ้นจากการนิยามมาตรฐานของ Certificate ที่ใช้ภาษา ASN.1 ในการนิยาม แต่การนิยามแบบนี้อนุญาตให้มีการใส่อักขระ '\0' ลงในช่องอักษรได้ ขณะที่การเขียนโปรแกรมในภาษาซีนั้นจะมองอักขระ '\0' เป็นการจบสตริง

ช่องโหว่นี้ทำให้ผู้โจมตีสามารถขอ Certificate จากผู้ให้บริการ โดยปลอมแปลงโดเมนของตน เช่นผมสามารถขอ Certificate ให้กับ www.paypal.com'\0'.blognone.com แต่เบราเซอร์กลับมองเห็นมันเป็น Certificate ของ www.paypal.com ไป

ช่องโหว่นี้กระทบกับทุกโปรแกรมที่ใช้ CryptoAPI ของทางไมโครซอฟท์ ซึ่งหากนับเฉพาะเบราเซอร์แล้วก็ได้แก่ IE ทุกรุ่น, Chrome, และ Safari จนถึงตอนนี้ยังไม่มีการแก้บั๊กนี้จากทางไมโครซอฟท์แต่อย่างใด ส่วน Firefox นั้นใช้ระบบเข้ารหัสของตัวเองและแก้ปัญหานี้ไปแล้วหลังจากมีการรายงานไม่กี่วัน

ที่มา - The Register