Часть наиболее посещаемых интернет-ресурсов, которые шифруют данные при помощи SSL-протоколов, все еще уязвимы к атакам с эксплуатацией бреши в OpenSSL 16-летней давности. Согласно данным Ивана Ристика (Ivan Ristic) из Qualys, количество таких сайтов составляет порядка 49% всех web-страниц. Кроме того, он утверждает, что на 14% ресурсов уязвимость можно успешно проэксплуатировать.
Напомним, что впервые о бреши стало известно в начале июня текущего года. Тогда сообщалось, что брешь позволяет настроить параметры рукопожатия таким образом, чтобы для связи между клиентом и сервером OpenSSL SSL/TLS использовались слабые ключи шифрования. Благодаря этому злоумышленник мог осуществить атаку “человек посередине”.
Несмотря на то, что практически все версии OpenSSL уязвимы, эксплуатация бреши возможна исключительно в двух случаях, пишет Ристик. Так, для проведения атаки нужно, чтобы обе стороны использовали OpenSSL, или чтобы сервер поддерживал работу уязвимой версии OpenSSL ветки 1.0.1. “Хорошая новость заключается в том, что большинство браузеров не задействуют OpenSSL, а это означает, что большая часть пользователей затронута не будет. Однако Android-обозреватели используют OpenSSL и являются уязвимыми к таким атакам”, – пишет в блоге эксперт. (Новости/NovostIT)
