Błyskawicznie podrobiony certyfikat SSL

Naukowcy z Technische Universitat Darmstadt poinformowali, że opracowali sposób na wykorzystanie luki w OpenSSL.

Stworzenie fałszywego certyfikatu SSL, który został zaakceptowany jako prawdziwy przez wiele przeglądarek, zajęło im poniżej 10 minut. Fałszywe certyfikaty, w połączeniu ze sfałszowanym adresem internetowym, mogą zostać wykorzystane przez cyberprzestępców do przeprowadzenia bardzo groźnych ataków.

Luka znana jest twórcom OpenSSL i opublikowali oni już poprawki do swojej biblioteki kryptograficznej. Dlatego też duża liczba przeglądarek jest odporna na atak.

Niemieccy naukowcy informują, że Internet Explorera 6 oraz Safari nie można zaatakować ich metodą. Odporny jest też Firefox, ale jedynie wersja 1.5.0.7. Z kolei Konqueror korzysta z OpenSSL zainstalowanych w systemie i jego bezpieczeństwo zależy od tego, czy na komputerze zainstalowano poprawioną edycję bibliotek.

Zaatakować można przeglądarkę Opera, w której błąd zostanie poprawiony w przygotowywanej dopiero edycji 9.02. Na atak narażone są też wersje programu pocztowego Thunderbird wcześniejsze od 1.5.0.7.

Źródło: Arcabit