Найдена критическая уязвимость в протоколах SSL и TLS

В протоколах SSL и TLS, которые используются для криптографической защиты данных, передаваемых через сервер, а также для защиты веб-страниц, была обнаружена серьезная уязвимость. Специалистами по безопасности из компании PhoneFactor Маршем Реем и Стивом Диспенса была обнародована информация об уязвимостях в обоих протоколах.

Как заявили исследователи, уязвимость в SSL была обнаружена ими еще в августе, а в TLS — в сентябре. Как сказано в представленных технических данных, уязвимость в TLS скрывается в процессе аутентификации. В результате злоумышленники могут получит доступ к сессии легитимного пользователя, а затем перехватывать информацию от пользователя и сервера.

Проблема касается в так называемой дыры аутентификации, во время данного процесса происходит обмен контрольной информацией между сервером и клиентом. Однако злоумышленниками пакеты могут быть заменены, что нарушит процесс аутентификации и в дальнейшем пакеты данных проходят через компьютер мошенников.

Также исследователи добавляют, что данная уязвимость также позволяет провести атаку против защищенного протокола https, который представляет собой комбинацию TLS и базового веб-протокола. Эксперты сообщают, что в связи с растущей популярностью SSL и TLS данная проблема является серьезной для большинства крупных пользователей, и даже если сейчас начать обновление данных протоколов, то этот процесс займет длительное время.