36%的SSL/TLS網(wǎng)站受到影響
當(dāng)我們對超過1.4億支持SSL/TLS的網(wǎng)站進(jìn)行掃描后,發(fā)現(xiàn)其中至少有36%的個(gè)體存在該漏洞,并支持出口級RSA加密��。
在上世紀(jì)90年代���,破解512位的密鑰需要出動超級電腦�����。而今天����,我們只需要花費(fèi)7小時(shí)+約100美金���,就可以輕松搞定這種加密機(jī)制����。
如果用戶正在使用一個(gè)含有漏洞的設(shè)備�����,我們可以嘗試?yán)肍REAK漏洞對它進(jìn)行攻擊�,F(xiàn)在像安卓、蘋果手機(jī)�����,以及運(yùn)行OS X系統(tǒng)的蘋果Mac電腦,如果該設(shè)備含有SSL/TLS協(xié)議漏洞�����,即使使用HTTPS網(wǎng)站后依然可能遭受中間人攻擊���。好在Windows和Linux用戶,目前并未受到該漏洞影響�����。
FREAK漏洞與POODLE(貴賓犬)漏洞的相似性
FREAK與POODLE這兩個(gè)漏洞還是有一定的相似性的�,POODLE是利用安全套件進(jìn)行降級回退攻擊,強(qiáng)迫終端使用低版本SSL/TLS�;而FREAK則只影響那些使用出口級RSA加密算法的版本。
安全研究人員們正在維護(hù)一個(gè)含有漏洞的網(wǎng)站列表����,并鼓勵網(wǎng)站管理員啟用向前保密(一對一限制訪問),并且禁用對出口級套件的支持���,其中包括所有已知的不安全加密機(jī)制����。
您也可以使用在線SSL FREAK測試攻擊�����,檢測網(wǎng)站是否存在漏洞。
蘋果和谷歌計(jì)劃修復(fù)FREAK漏洞
谷歌公司表示安卓已經(jīng)把補(bǔ)丁下發(fā)到合作廠商�����。同時(shí)谷歌也號召所有網(wǎng)站管理員����,禁用對出口級認(rèn)證的支持。而蘋果公司也對此進(jìn)行了回應(yīng)����,并表示:“我們下周進(jìn)行軟件升級時(shí),會對iOS和OS X系統(tǒng)進(jìn)行相應(yīng)的漏洞修復(fù)��������!
