کشف مشکل امنیتی جدید مرورگرها توسط گوگل

مطمئنا باگ خون ریزی قلبی را در خاطرتان دارید، مشکل امنیتی بسیار خطرناکی که شوک بزرگی را به جامعه مجازی وارد کرد. حال به نظر می رسد دچار یک دژاوو خواهیم شد: گوگل یک رخنه پذیری خطرناک در SSL 3.0 را کشف کرده که به هکرها امکان نفوذ در میان ارتباط ایمن را می دهد و به ترافیک رد و بدل شده دسترسی داشته باشند.

به این نوع حمله به اصطلاح POODLE یا Padding Oracle On Downgraded Legacy Encryption گفته می شود و به نوعی به هکر امکان حمله از نوع مرد میانی و رمزگشایی کوکی های HTTP را میدهد. کوکی ها می توانند بسته به نوع سایت برای اطلاعات شخصی، تنظیمات وب سایت ها و حتی کلمات عبور استفاده شوند.

SSL 3.0 یکی از قدیمی ترین پروتکل هایی است که از ۱۵ سال پیش که ایجاد شد هنوز مورد استفاده اکثر مرورگرها قرار می گیرد و به عنوان ابزار یدکی برای شرایطی که سرویس دهنده نتواند از طریق پروتکل های مدرن به وب سایت اتصال برقرار کند، استفاده می شود. حمله کننده ها می توانند از نفوذ پذیری این پروتکل در جهت دزدی اطلاعات کاربر استفاده و سرور را مجبور به استفاده از آن کنند.

ساده ترین راه برای جلوگیری از این نفوذ پذیری توقف استفاده از پروتکل SSL 3.0 است، در حالی که همین الان جانشین های بسیاری همانند TLS و غیره پا به میدان گذاشته اند، اما به گفته گوگل، هنوز از آن در سطح گسترده ای استفاده می شود. راهی که گوگل پیش روی مرورگرها و سرورها گذاشته استفاده از TLS_FALLBACK-SCSV به عنوان یک مکانیزم دعافی در برابر حمله هکرها و مجبور کردن سرور به استفاده از پروتکل های قدیمی تر است. مرورگر کروم از فوریه امسال استفاده از این روش امنیتی را آعاز کرده و در نسخه های آینده، سوئیچ به پروتکل قدیمی را به کل متوقف می کند.

اگر نگاهی مثبت به قضیه داشته باشیم، به نظر می رسد گوگل نفوذپذیری ای را کشف کرده که هنوز مورد استفاده گسترده قرار نگرفته و این نکته را به ما می گوید که وقت بازنشستگی SSL 3.0 فرا رسیده، چرا که هیچ راه حل دائمی برای برطرف کردن مشکل این پروتکل وجود ندارد. در مطلب آموزشی که این رابطه توسط OpenSSL.org منتشر گشته، گفته شده که "برای دستیابی به یک ارتباط رمزنگاری شده ایمن، لازم است که از استفاده از SSL 3.0 به طور کامل اجتناب شود."

پیشنهاد می کنیم برای کسب اطلاعات دقیق تر و فنی تر کتاب الکترونیکی که وب سایت مربوطه منتشر کرده را حتما مطالعه کنید.

مطالب مرتبط

آیا حساب ‌های Call of Duty هک شده‌اند؟

به نظر می‌رسد اطلاعات ورود به حساب بیش از ۵۰۰ هزار حساب اکتیویژن هک شده است. سایت Dexerto گزارش داده که این نشت اطلاعاتی روز یکشنبه ۲۰ سپتامبر (۳۰ شهریور) رخ داده است.وب‌سایت فوربس از Dexerto نقل می‌کند که اختیار دسترسی به حساب کاربران به صورت عمومی منتشر شده و جزئیات حساب، برای جلوگیری از بازیابی آن‌ها... ادامه مطلب

حمله باج افزاری به بیمارستانی در آلمان جان یک بیمار را گرفت

یک بیمار زن در طی حمله باج افزاری به بیمارستان دانشگاه «دوسلدورف» آلمان جان خود را از دست داد که احتمالا به اولین قربانی چنین حملاتی به بیمارستان‌ها تبدیل می‌شود.در پی این حمله، بیمارستان نتواست بیماران با وضعیت اضطراری را پذیرش کند و این بیمار راهی بیمارستان دیگری با فاصله ۳۲ کیلومتر شد. طبق گزارش... ادامه مطلب

سرقت ۸.۱ میلیون دلار از پروتکل رمرارز bZx در حمله‌ سایبری

یکی از پروژه‌های دیفای به نام پروتکل bZx برای سومین بار مورد حمله هکرها قرار گرفت و ۸.۱ میلیون دلار از سرمایه آن از دست رفت.باگ موجود در قراردادهای هوشمند به هکر اجازه داده که ۲۱۹,۲۰۰ توکن لینک به ارزش ۲.۶ میلیون دلار، ۴,۵۰۳ اتریوم به ارزش ۱.۶۵ میلیون دلار، ۱,۷۵۶,۳۵۱ تتر به ارزش ۱.۷۶... ادامه مطلب

هشدار کسپرسکی درباره هجوم هکرها به سرورها و ورک‌استیشن‌های لینوکسی

با افزایش محبوبیت پلتفرم‌های متن باز، محققان در شرکت کسپرسکی هشدار داده‌اند که هکرها با استفاده از ابزارهای مخصوصی دستگاه‌های لینوکسی را مورد حمله قرار می‌دهند.در حالی ویندوز اغلب مورد حملات گسترده بدافزارها قرار می‌گیرد، کسپرسکی اعلام کرده که تعدادی از مهاجمان در حال دسترسی به ابزارهایی برای حمله به لینوکس هستند. بسیاری از سازمان‌ها... ادامه مطلب

محقق امنیتی باگ خطرناک بیت کوین را برای جلوگیری از حملات دو سال مخفی کرد

نزدیک به دو سال پیش یک محقق امنیتی توانست یک آسیب‌پذیری در «هسته بیت کوین» کشف کند، اما اخیرا جزئیات مربوط به آن را منتشر کرده است.در سال ۲۰۱۸ یک محقق امنیتی یک آسیب‌پذیری خطرناک در هسته بیت کوین، نرم افزاری که قدرت بلاکچین بیت کوین را تامین می‌کند، شناسایی کرد، اما پس از گزارش... ادامه مطلب

آسیب‌پذیری جدید بلوتوث اتصال غیرمجاز هکر به دیوایس را ممکن می‌کند

سازمان متولی «بلوتوث» با انتشار بیانیه‌ای از کشف آسیب پذیری جدید در این فناوری ارتباطی بی‌سیم خبر داد.این آسیب پذیری که BLURtooth نام دارد، در پروتکل Cross-Transport Key Derivation یا به اختصار CTKD فناوری بلوتوث کشف شده است. از این پروتکل برای برقراری ارتباط و ایجاد کلیدهای احراز هویت (Authentication Keys) بین دو دیوایس بلوتوثی... ادامه مطلب

نظرات ۱۲

وارد شوید

برای گفتگو با کاربران، وارد حساب کاربری خود شوید.

ورود

رمزتان را گم کرده‌اید؟