更多

    19 年前的漏洞重現 ROBOT 攻擊突襲 Facebook 、 PayPal

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    一種 19 年前被發現的網頁加密漏洞,竟然被發現重新出現在現代網頁上,連 Facebook 和 PayPal 的網頁都被發現有這個漏洞。而這個漏洞竟然是出自現代網上購物一直信賴的加密通信協議 TLS 身上。

    研究人員公開這種 19 年前就被發現的漏洞詳情
    研究人員公開這種 19 年前就被發現的漏洞詳情

    19 年前,一位研究人員 Daniel Bleichenbacher 發現破解以 RSA 運算法來加密的 TLS 通信協議的方法,不過到了今時今日,德國波鴻魯爾學( Ruhr-Universität Bochum )就發現只要稍加修改,這個漏洞仍然適用於現在的 HTTPS 上面,令到有心人可以透過這個漏洞來截取和解密本應加密了的內容。研究人員以「 Bleichenbacher 攻擊再臨( Return Of Bleichenbacher’s Oracle Threat )」來稱呼這種攻擊,簡稱 ROBOT 攻擊。
    不少著名品牌如 Cisco 、 Citrix 、 Oracle 的網絡產品都被發現受影響,而 Dell 、 Microsoft 、 OpenSSL 、 RSA Security 的產品就不受影響。 Cisco 等廠商已表明會推出修正檔來修補漏洞。
    各大受害廠商已經推出修正檔堵塞漏洞
    各大受害廠商已經推出修正檔堵塞漏洞

    研究人員發現 Facebook 和 PayPal 這種大型網站都有這個漏洞。在頭 100 位網域裡, 27 個子網域有這漏洞。他們已經提供了網上服務和開源的 Python 程式,讓公眾去查看自己的伺服器有沒有這個漏洞。研究人員又指由於現代的 TLS 連接幾乎都已改用 ECDHE , RSA 只在簽署時才必要,所以即使停用高危的 RSA 加密模式,應該也不會有問題發生。
    經檢查後, PCMarket 網站雖然因為仍未停用 RSA 運算法而需要修正,不過就證實沒有此漏洞。
    經檢查後, PCMarket 網站雖然因為仍未停用 RSA 運算法而需要修正,不過就證實沒有此漏洞。

    有關 ROBOT 攻擊的詳細資料和網上檢查服務:按此
    下載檢查 ROBOT 攻擊的程式碼:按此

    您會感興趣的內容

    相關文章