French Institute for Research in Computer Science and Automation (Inria) และ Microsoft ค้นพบช่องโหว่ของ SSL/TLS ที่เกิดขึ้นมาเป็นเวลานับ 10 ปี พบในไลบรารี OpenSSL เวอร์ชัน 1.01k หรือเก่ากว่า และ Secure Transport ของ Apple กระทบทั้งผู้ใช้ Apple และ Android หลายล้านคน รวมถึงเว็บไซต์ทางการของทำเนียบขาว, FBI หรือแม้แต่ NSA
ช่องโหว่นี้มีชื่อว่า FREAK (CVE-2015-0204) หรือ Factoring Attack on RSA-EXPORT Keys การทำงานของช่องโหว่นี้อนุญาตให้ผู้ไม่ประสงค์ดีบังคับใช้กระบวนการเข้ารหัสที่ล้าสมัย เช่น 512-bit export RSA key ที่ในอดีตจำเป็นต้องใช้ซุปเปอร์คอมพิวเตอร์ในการถอดรหัส แต่ปัจจุบันสามารถถอดรหัสได้เพียงใช้เงิน 100 ดอลลาร์กับเวลา 7 ชั่วโมงต่อเว็บ ผู้ใช้จึงมีความเสี่ยงถูกโจมตีแบบ man-in-the-middle attack
จากการตรวจสอบเว็บไซต์ 14 ล้านแห่งที่รองรับ SSL/TLS พบว่า 36% รองรับการเข้ารหัสที่ไม่ปลอดภัย ทำให้มีความเสี่ยงถูกโจมตี ส่วนฝั่งผู้ใช้ที่ตกอยู่ในความเสี่ยงมีทั้ง Android, iOS, OS X หากเข้าเว็บไซต์ที่มีความเสี่ยงเมื่อไรมีอาจถูกโจมตีได้ทันที
เบื้องต้น ทีมวิจัยแนะนำให้เว็บที่ตกอยู่ในความเสี่ยงปิดการเข้ารหัสที่ล้าสมัย และทำให้เว็บรองรับ forward secrecy ส่วน Google ได้ส่งแพตซ์ไปให้พาร์ทเนอร์แล้ว และ Apple ก็เตรียมปิดช่องโหว่นี้ในอัพเดตถัดไปของ iOS และ OS X ที่จะออกสัปดาห์หน้า
ที่มา - The Hacker News
on
ส่วน Google
hisoft Wed, 04/03/2015 - 18:05
ผมว่าปัญหามันจะอยู่ที่ขั้นต่อจากนี้นี่สิครับ หวังว่าคงมีทางส่งจนถึงมือผู้ใช้ทั่วไปได้อย่างทั่วถึงนะ
อารมณ์เดียวกับช่องโหว่ poodle
icez Wed, 04/03/2015 - 18:15
อารมณ์เดียวกับช่องโหว่ poodle สินะ ปิดฝั่ง server ก็ได้ หรือฝั่ง client ก็ได้
เครื่องแพ ดร๋อย
Hadakung Wed, 04/03/2015 - 18:27
เครื่องแพ ดร๋อย นี้เป็นล้านจะไหวหรอ
Frech -> French
tk719 Wed, 04/03/2015 - 19:25
Frech -> French
แก้ตามนั้นครับ
nutmos Wed, 04/03/2015 - 19:53
In reply to Frech -> French by tk719
แก้ตามนั้นครับ
แพตซ์ => แพตช์
panurat2000 Wed, 04/03/2015 - 21:42
In reply to Frech -> French by tk719
แพตซ์ => แพตช์
มีบั๊กแต่ละที สะเทือนวงการเลย
jaideejung007 Wed, 04/03/2015 - 19:36
มีบั๊กแต่ละที
สะเทือนวงการเลย
Microsoft
teerapon0009 Wed, 04/03/2015 - 20:07
Microsoft ไม่โดนกับเค้าแปลว่าอัพเดทไปก่อนหน้านี้แล้วสินะ
MS เขียนเองครับ ไม่ได้ใช้
kimminwoo Wed, 04/03/2015 - 23:38
In reply to Microsoft by teerapon0009
MS เขียนเองครับ ไม่ได้ใช้ OpenSSL
ไมโครซอฟท์ยอมรับ ช่องโหว่
panurat2000 Fri, 06/03/2015 - 11:50
In reply to MS เขียนเองครับ ไม่ได้ใช้ by kimminwoo
ไมโครซอฟท์ยอมรับ ช่องโหว่ FREAK มีผลกับวินโดวส์ด้วย กระทบวินโดวส์ทุกรุ่น
เช็คแล้วรอดแฮะ
kamthorn Thu, 05/03/2015 - 00:48
เช็คแล้วรอดแฮะ สรุปว่าถ้าคอนฟิก SSL ไว้อย่างเหมาะสมแต่แรก ก็ไม่มีปัญหานะครับ แต่แปลกใจที่ www.nsa.gov โดนนี่แหละ
ลองเอาไปทดสอบกับ Qualys SSL Lab ถือว่าคอนฟิกไว้แย่นะ ได้เกรด C
https://www.ssllabs.com/ssltest/analyze.html?d=www.nsa.gov