تبلیغات
گروه امنیتی منطقه تاریکی - مطالب ابر کروم
گروه امنیتی منطقه تاریکی

استفاده از SSLv3 در مرورگرها متوقف خواهد شد؟

جمعه 2 آبان 1393

نوع مطلب :اخبار دنیای امنیت، 

با انتشار جزییات حملات POODLE که با سوء‌استفاده از ضعف SSLv3 صورت می‌گیرد، به نظر می‌رسد توسعه‌دهندگان مرورگرها در حال برنامه‌ریزی برای رفع این مشکل هستند، حذف پروتکل SSLv3 منجر به اتفاقات عجیبی در دنیای اینترنت می‌شود و به همین دلیل توسعه‌دهندگان باید با احتیاط این عملیات را انجام دهند که خسارتی به کاربران وارد نشود. 
 
حملات Poodle توسط محققان گوگل کشف و هفته‌ی پیش جزییات آن منتشر شد. این حملات به مهاجم این امکان را می‌دهد که در همان شبکه‌ای که مهاجم از پروتکل SSLv3 برای رمز‌گذاری داده‌ها و ترافیک خود استفاده می‌کند، به داده‌های بدون رمز‌ قربانی دست‌رسی پیدا کند. این حملات می‌تواند در پشت صحنه انجام شود، ایده‌ی اصلی Poodle مربوط به این مسئله می‌شود که در هنگام درخواست برای رمزگذاری ترافیک از سمت سرویس‌گیرنده (نرم‌افزار‌های سمت سرویس‌گیرنده مثلاً مرورگر) درصورتی که این درخواست با شکست مواجه شود، کارگزار تلاش می‌کند با استفاده از یک پروتکل رمزنگاری دیگر و ضعیف‌تر مثل SSLv3 ارتباط رمزشده را ایجاد کند. مهاجم می‌تواند یک تلاش برای ارتباط رمز‌شده را در صورتی که با شکست مواجه شود، مجبور کند از پروتکل SSLv3 استفاده کند و سپس حملات را آغاز کند. 
 
مقامات موزیلا می‌گویند اگرچه فایرفاکس در مجموع تنها در ٪۰٫۳ از ارتبطات امن از SSLv3 استفاده می‌کند، اما حملات Poodle هنوز یک تهدید بسیار جدی برای کاربران به شمار می‌آید. به همین دلیل موزیلا در تلاش است تا پایان نوامبر سال جاری به طور کامل پروتکل آسیب‌پذیری SSLv3 را از فایرفاکس حذف کند. در فایرفاکس نسخه‌ی ۳۴ این پروتکل به صورت پیش‌فرض حذف می‌شود، تاریخ انتشار فایرفاکس ۳۴، ۲۵ نوامبر سال جاری است. البته نسخه‌ی Nightly از فایرفاکس که توسط توسعه‌دهندگان استفاده می‌شود از روز گذشته استفاده از پروتکل SSLv3 را غیرفعال کرده است. 
در فایرفاکس ۳۵، موزیلا پشتیبانی از سازوکار محافظت از کاهش نسخه‌ی TLS که به استاندارد SCSV شهرت دارد را شروع می‌کند. 
 
مقامات امنیتی گوگل می‌گویند که پشتیبانی از SCSV از فوریه‌ی سال ۲۰۱۴ در مرورگر کروم وجود دارد، اما غیرفعال کردن SSLv3 منجر می‌شود وب‌گاه‌هایی که هنوز از این پروتکل استفاده می‌کنند با مشکل مواجه شوند و کاربران نتوانند از این وب‌گاه بازدید کنند. 
 
مایکروسافت با انتشار به‌روز‌رسانی‌های ماه اکتبر در سه‌شنبه‌ی هفته‌ی گذشته، توصیه‌نامه‌ای برای حملات Poodle منتشر کرد، اما هیچ برنامه‌ی مشخصی برای مقابله با این حملات در مرورگر اینترنت‌اکسپلورر معرفی نکرد. البته IE6، نسخه‌ی قدیمی مرورگر مایکروسافت که البته پشتیبانی از آن به پایان رسیده است، هیچی نسخه‌ی جدیدتری از پروتکل‌های رمز‌نگاری به جز SSLv3 را پشتیبانی نمی‌کند!


وصله‌شدن ۲۲ آسیب‌پذیری در سافاری

شنبه 3 خرداد 1393

نوع مطلب :اخبار دنیای امنیت، 

اپل روز گذشته به‌روز‌رسانی را برای مرورگر سافاری منتشر کرده است که در آن ۲۲ آسیب‌پذیری این مرورگر وصله شده که در شرح این به‌روز‌رسانی مشکل مربوط به موتور مرورگرِ WebKit که امکان اجرای کد یا از کار انداختن مرورگر را برای مهاجم فراهم می‌کند، معرفی شده است.
Safari 7.0.4 برای سامانه‌عامل OS X Mavericks 10.9 ارائه شده و Safari 6.1.4 برای سامانه‌عامل OS X Mountain Lion 10.8 معرفی شده است، آسیب‌پذیری‌های وصله شده در صورتی که مهاجم موفق به ترغیب کاربر برای بازدید از یک وب‌گاه آلوده شود، قابل سوء‌استفاده است.
چندین آسیب‌پذیری خطای حافظه در WebKit مشاهده شده است که با بهبود مدیریت حافظه در این محصول، آسیب‌پذیری‌ها وصله شده‌اند، هم‌چنین آسیب‌پذیری‌ دیگر مربوط به نحوه‌ی مدیریت نویسه‌های یونی‌کد در آدرس‌ها وصله شده است،‌ که در صورت وصله نشدن مهاجم با سوء‌استفاده از آن می‌تواند منجر به از کار افتادن مرورگر قربانی شود.
بسیاری از آسیب‌پذیری‌های اجرای کد مخرب در WebKit توسط گوگل کشف شده‌اند، گوگل هم در مرورگر کروم تا نسخه‌ی ۲۷ از این موتور مرور وب استفاده می‌کرده، ولی هم‌اینک مرورگر گوگل کروم مبتنی بر Blink است.
هم‌چنین لازم به ذکر است که با وجود این‌که بسیاری از آسیب‌پذیری‌ها به‌تازگی کشف‌ شده‌اند اما دو آسیب‌پذیری با شناسه‌های CVE-2013-2875 و CVE-2013-2927  در سال گذشته‌ی میلادی به اپل گزارش داده شده‌اند.
آسیب‌پذیری‌های سال جاری با شناسه‌های CVE-2014-1323 تا CVE-2014-1344 به جز شناسه‌های CVE-2014-1325 و CVE-2014-1328 مربوط به سال جاری هستند که وصله شده‌اند. هم‌چنین دو آسیب‌پذیری دیگر با شناسه‌های CVE-2014-1731 و CVE-2014-1346 نیز وصله شده‌اند.
در ماه گذشته‌ی میلادی، اپل ۲۵ خطای امنیتی در مرورگر خود را وصله کرده بود که باز هم همه‌ی آن‌ها مربوط به چارچوب مرور وبِ WebKit بوده‌اند.




فهرست وبلاگ
طبقه بندی
آرشیو
نویسندگان
پیوندها
آمار وبلاگ
  • کل بازدید :
  • بازدید امروز :
  • بازدید دیروز :
  • بازدید این ماه :
  • بازدید ماه قبل :
  • تعداد نویسندگان :
  • تعداد کل پست ها :
  • آخرین بازدید :
  • آخرین بروز رسانی :
جستجو
آخرین پستها
اَبر برچسبها