Błąd w certyfikacie SSL dla IE

Author: hoaxer \ grudzień 25, 2001 \ Aktualności \ 0 komenarzy

Problem dotyczy Intenet Explorera w wersji 5.0/5.5/6.0. Stwarza on możliwość przeprowadzenia ataku typu Man-In-The-Middle (MIM)

Internet Explorer sprawdza tylko, czy certyfikat serwera HTTP jest właściwie podpisany i wydany przez odpowiednią organizację/firmę, natomiast nie sprawdza on już, czy certyfikat ten został wydany dla obiektu, który jest nim sygnowany, ani czy jest nadal aktualny.

Rzecz w tym, że IE oznacza taki certyfikat jako zaufany i „uważa” za taki aż do zakończnia sesji HTTP. W związku z tym użytkownik, gdy już raz odwiedzi daną stronę, zawierającą obiekt z servera (SSL) poddanego atakowi MIM , nie zostanie ostrzeżony przez IE o wygasłym lub wydanym dla innego obiektu certyfikacie, a obiekt zostanie pobrany jako bezpieczny.

Aby się ustrzec przed atakiem należy zawsze sprawdzać, czy certyfikat jest wydany dla właściwego obiektu (czy nazwy serwerów się zgadzają) i czekać na wydanie przez Microsoft odpowiedniej łatki.

Więcej informacji na temat tej luki można uzyskać pod adresem www.securityfocus.com/archive/1/246973

Informacje na temat ataku MIM można uzyskać pod adresem www.phrack.org/show.php?p=57&a=13

Wojciech Grzegorz Mysiakmarzec 17, 2021"https://www.youtube.com/results?search_query=hackers+winnings+digital+pa…"
Filip M.październik 9, 2020"My też zdecydowaliśmy się na voip od firmy Super VoIP i była to najlepsz…"
scot mackpaździernik 1, 2020"Dzień dobry panie / pani, Oferujemy wszystkie rodzaje pożyczek z niskim…"
scot mackpaździernik 1, 2020"Dzień dobry panie / pani, Oferujemy wszystkie rodzaje pożyczek z niskim…"
Arkadiusz Siczeklipiec 1, 2020"Nie wiem czy w dobie ekshibicjonizmu internetowego możemy w ogóle mówić…"