Kaikista yleisimmistä nettiselaimista löytyi vakava haavoittuvuus
Tutkijat löysivät käytännössä kaikista suurimmista nettiselaimista tietoturva-aukon, joka mahdollisti salatun HTTPS-istunnon tietojen kaappaamisen niin sanottujen keksitiedostojen avulla.
Haavoittuvuuden ydin oli käytännössä siinä, että vaikka selaimet mahdollistavat vain HTTPS-yhteyden yli käytettävät keksitiedostot, eivät selaimet tarkistaneet mistä lähteestä "suojatut keksit" oli asetettu. Hyökkääjä saattoi siis korvata aidon, vaikkapa verkkopankin luoman, HTTPS-keksin hyökkääjän itsensä hallitsemalla keksillä, joka on naamioitu verkkopankin keksiksi.
Aukko kosketti Applen Safaria, Microsoftin Internet Exploreria ja uutta Edge-selainta, Mozilla Firefoxia, Google Chromea, Operaa ja Vivaldia. Haavoittuvuus on jo korjattu näissä kaikissa selaimissa.
Verkkosivujen ylläpitäjiä Yhdysvaltain CERT-viranomainen suosittelee ottamaan käyttöön HSTS-tietoturvamekanismi ja hyödyntää sen includeSubdomains-valintaa.
6 KOMMENTTIA
Lumikki1/6
Ei oikein ymmärrä. Minulla on aina ollut käytössä että ei sallita kolmannen osapuolen keksejä. Eikö tämä muka tarkista keksiä siihen verkkotunnukseen https:llä? Koska jos se ei tarkista niin miksi edes valinta joka ei tee mitään?
WereCatf2/6
Subdomaineja ei lasketa kolmansiksi osapuoliksi. HSTS taas on serveripuolen asetus, ei selainpuolen, joten käyttäjä ei käytännössä voi tehdä mitään asialle atm.
Jarzka_3/6
Milloin opimme käyttämään oikeaa termiä web-selain?
hannes14/6
Eikö tietoturva-aukkoja suojaa selainta?
Lumikki5/6
Mutta eikö aliverkkotunnuksen käyttö ja hallinta ole sillä pääverkkotunnuksen omistajalla eli ei kolmas osapuoli sitä oikeasti pysty käyttämään.
RekookeR6/6
Mulla on ollut vuosia käytössä Maxthon, se on selviytynyt hyvin, eikä ole haavoittuva.
TÄMÄN UUTISEN KOMMENTOINTI ON PÄÄTTYNYT