Tags:
Node Thumbnail

French Institute for Research in Computer Science and Automation (Inria) และ Microsoft ค้นพบช่องโหว่ของ SSL/TLS ที่เกิดขึ้นมาเป็นเวลานับ 10 ปี พบในไลบรารี OpenSSL เวอร์ชัน 1.01k หรือเก่ากว่า และ Secure Transport ของ Apple กระทบทั้งผู้ใช้ Apple และ Android หลายล้านคน รวมถึงเว็บไซต์ทางการของทำเนียบขาว, FBI หรือแม้แต่ NSA

ช่องโหว่นี้มีชื่อว่า FREAK (CVE-2015-0204) หรือ Factoring Attack on RSA-EXPORT Keys การทำงานของช่องโหว่นี้อนุญาตให้ผู้ไม่ประสงค์ดีบังคับใช้กระบวนการเข้ารหัสที่ล้าสมัย เช่น 512-bit export RSA key ที่ในอดีตจำเป็นต้องใช้ซุปเปอร์คอมพิวเตอร์ในการถอดรหัส แต่ปัจจุบันสามารถถอดรหัสได้เพียงใช้เงิน 100 ดอลลาร์กับเวลา 7 ชั่วโมงต่อเว็บ ผู้ใช้จึงมีความเสี่ยงถูกโจมตีแบบ man-in-the-middle attack

จากการตรวจสอบเว็บไซต์ 14 ล้านแห่งที่รองรับ SSL/TLS พบว่า 36% รองรับการเข้ารหัสที่ไม่ปลอดภัย ทำให้มีความเสี่ยงถูกโจมตี ส่วนฝั่งผู้ใช้ที่ตกอยู่ในความเสี่ยงมีทั้ง Android, iOS, OS X หากเข้าเว็บไซต์ที่มีความเสี่ยงเมื่อไรมีอาจถูกโจมตีได้ทันที

เบื้องต้น ทีมวิจัยแนะนำให้เว็บที่ตกอยู่ในความเสี่ยงปิดการเข้ารหัสที่ล้าสมัย และทำให้เว็บรองรับ forward secrecy ส่วน Google ได้ส่งแพตซ์ไปให้พาร์ทเนอร์แล้ว และ Apple ก็เตรียมปิดช่องโหว่นี้ในอัพเดตถัดไปของ iOS และ OS X ที่จะออกสัปดาห์หน้า

ที่มา - The Hacker News

Get latest news from Blognone

Comments

By: hisoft
ContributorWindows PhoneWindows
on 4 March 2015 - 18:05 #796394
hisoft's picture

ส่วน Google ได้ส่งแพทซ์ไปให้พาร์ทเนอร์แล้ว

ผมว่าปัญหามันจะอยู่ที่ขั้นต่อจากนี้นี่สิครับ หวังว่าคงมีทางส่งจนถึงมือผู้ใช้ทั่วไปได้อย่างทั่วถึงนะ

By: icez
ContributoriPhoneAndroidRed Hat
on 4 March 2015 - 18:15 #796397

อารมณ์เดียวกับช่องโหว่ poodle สินะ ปิดฝั่ง server ก็ได้ หรือฝั่ง client ก็ได้

By: Hadakung
iPhoneWindows PhoneAndroidWindows
on 4 March 2015 - 18:27 #796398

เครื่องแพ ดร๋อย นี้เป็นล้านจะไหวหรอ

By: tk719
iPhoneBlackberrySymbianIn Love
on 4 March 2015 - 19:25 #796410

Frech -> French

By: nutmos
WriteriPhoneUbuntuWindows
on 4 March 2015 - 19:53 #796419 Reply to:796410

แก้ตามนั้นครับ

By: panurat2000
ContributorSymbianUbuntuIn Love
on 4 March 2015 - 21:42 #796422 Reply to:796410
panurat2000's picture

แพตซ์ => แพตช์

By: jaideejung007
ContributorWindows PhoneWindows
on 4 March 2015 - 19:36 #796415
jaideejung007's picture

มีบั๊กแต่ละที

สะเทือนวงการเลย

By: teerapon0009
Windows PhoneAndroidWindows
on 4 March 2015 - 20:07 #796426
teerapon0009's picture

Microsoft ไม่โดนกับเค้าแปลว่าอัพเดทไปก่อนหน้านี้แล้วสินะ

By: kimminwoo
AndroidRed HatUbuntuWindows
on 4 March 2015 - 23:38 #796477 Reply to:796426

MS เขียนเองครับ ไม่ได้ใช้ OpenSSL

By: kamthorn
ContributorAndroidUbuntu
on 5 March 2015 - 00:48 #796500

เช็คแล้วรอดแฮะ สรุปว่าถ้าคอนฟิก SSL ไว้อย่างเหมาะสมแต่แรก ก็ไม่มีปัญหานะครับ แต่แปลกใจที่ www.nsa.gov โดนนี่แหละ

ลองเอาไปทดสอบกับ Qualys SSL Lab ถือว่าคอนฟิกไว้แย่นะ ได้เกรด C
https://www.ssllabs.com/ssltest/analyze.html?d=www.nsa.gov


-- blog