Stranger Danger! What Is The Risk From 3rd Party Libraries?
Software makers sa paligid
Ang kapintasan ay nakasalalay sa protocol ng SSL, na kilala bilang teknolohiya na ginagamit para sa secure na pag-browse sa mga Web site na nagsisimula sa HTTPS, at hinahayaan ang mga attacker ay may-hawak ng mga secure na SSL (Secure Sockets Layer) na mga komunikasyon sa pagitan ng mga computer na gumagamit ng kung ano ang kilala bilang isang tao-sa-gitna na atake.
Kahit na ang lamat ay maaari lamang na pinagsamantalahan sa ilalim ng ilang mga pangyayari, maaari itong magamit upang tadtarin sa mga server sa ibinahagi ang mga kapaligiran ng pagho-host, mga server ng mail, database, at maraming iba pang mga secure na application, ayon kay Chris Paget, isang researcher ng seguridad na nag-aral ng isyu.
[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]
"Ito ay isang pagkakamali sa antas ng protocol. " Sinabi ni Paget, ang punong opisyal ng teknolohiya na may isang pagkonsulta sa seguridad na tinatawag na H4rdw4re. "Mayroong maraming mga bagay na kailangang maayos sa isang ito: Mga Web browser, mga server sa Web, mga load balancer ng Web, mga web accelerators, mga mail server, SQL Server, mga driver ng ODBC, mga protocol ng peer-to-peer."Kahit na ang isang magsasalakay ay kailangan munang sumuntok sa network ng biktima upang ilunsad ang man-in-the-middle attack, ang mga resulta ay magiging mapangwasak - lalo na kung ginamit sa isang naka-target na atake upang makakuha ng access sa isang database o isang mail server, Sinabi ng Paget.
Dahil malawak itong ginagamit, ang SSL ay patuloy sa ilalim ng mikroskopyo ng mga mananaliksik sa seguridad. Noong nakaraang taon, natagpuan ng mga mananaliksik ang isang paraan upang lumikha ng pekeng mga sertipiko ng SSL na pinagkakatiwalaan ng anumang browser, at sa Agosto ng mga mananaliksik unveiled isang maliit na bagong mga pag-atake na maaaring ikompromiso ang trapiko ng SSL. Ngunit hindi tulad ng mga pag-atake na iyon, na may kinalaman sa imprastraktura na ginamit upang pamahalaan ang mga digital na sertipiko ng SSL, ang pinakabagong bug na ito ay namamalagi sa SSL protocol mismo at magiging mas mahirap na ayusin.
Ang karagdagang mga bagay na kumplikasyon ay ang katunayan na ang bug ay di sinasadyang ipinahayag sa isang nakatago na mailing list na Miyerkules, na pinipilit ang mga vendor na maging isang baliw na pag-aagawan upang i-patch ang kanilang mga produkto.
Ang isyu ay natuklasan sa Auguust ng mga mananaliksik sa PhoneFactor, isang kompanya ng seguridad ng mobile-phone. Nagtatrabaho sila sa nakalipas na dalawang buwan sa pamamagitan ng isang consortium ng mga vendor ng teknolohiya na tinatawag na ICASI (Industry Consortium for Advancement of Security sa Internet) upang i-coordinate ang isang malawakang pag-aayos sa industriya para sa problema, na tinatawag na "Project Mogul."
Ngunit ang kanilang maingat na mga plano ay itinapon sa kaguluhan Miyerkules kapag SAP engineer Martin Rex stumbled sa buong bug sa kanyang sarili. Tila walang kamalayan sa kabigatan ng isyu, inilagay niya ang kanyang mga obserbasyon sa isyu sa isang listahan ng talakayan ng IETF (Internet Engineering Task Force). Pagkatapos nito ay inilathala ng security researcher HD Moore.
Sa Miyerkules ng hapon, sapat na ang mga tao ang pinag-uusapan ang isyu na nagpasya ang PhoneFactor na pumunta sa publiko sa kanilang mga natuklasan. "Sa puntong iyon nararamdaman namin na ang mga masamang tao ay alam at nadama namin na may responsibilidad kami para sa mga magagandang tao na malaman din," sabi ni Sarah Fender, vice president ng marketing ng PhoneFactor.
Hindi maaaring sabihin ng Fender na handa nang mag-patch ang isyu, ngunit napansin niya na ang isang bilang ng mga bukas na mapagkukunan ng produkto ay "nababalisa" upang itulak ang isang patch. "Sa tingin ko makikita namin ang ilang mga patching sa malapit na hinaharap," sinabi niya.
Ang ICASI ay hindi maabot para sa komento Miyerkules gabi.
Kahit na seguridad eksperto sabihin ang kapintasan ay marahil umiiral para sa taon, ito ay hindi naisip na pinagsamantalahan sa anumang pag-atake.
"Habang iniisip natin na ito ay isang materyal na kahinaan, hindi ito ang katapusan ng mundo," sabi ni Fender.
Firewall Vendors Scramble to Fix DNS Problem
Firewall vendors ay scrambling upang palabasin ang isang bug sa kanilang mga produkto na undoes bahagi ng isang kamakailan-lamang na kritikal na patch ng DNS.
Ang isang ulat sa bug ng browser ay nagpapahiwatig ng Chrome, IE, at Firefox ay malayo mula sa perpekto kapag ito dumating sa mga bug. Aling isa ang pinakamahusay? Basahin ang.
Tulad ng Firefox at Chrome labanan ito sa mga bagong betas at rumored release petsa, ang isang bagong nakumpletong pagtatasa ay ang pagsagot sa tanong na kung saan ang browser ay ang pinaka-bug.
Mga Bug at Mga Pag-aayos: Isang Bonanza ng Pag-aayos ng Bug ng Browser
Plus: Nagbibigay ang Microsoft ng isang PowerPoint patch at isang pag-aayos na nauugnay sa QuickTime, Ang OS at Adobe Reader ay tumatanggap ng mga update.