Av
| 
En angripare som lyckas utnyttja SSL-buggen kan ta över en server eller persondator.
Buggen i SSL kan bara utnyttjas under vissa speciella förhållanden, hävdar företagen som nu arbetar tillsammans för att åtgärda den så fort som möjligt. Bland annat krävs att angriparen först hackar sig in i offrets nätverk. Å andra sidan har angripare de senaste åren visat sig mycket duktiga på att skapa just speciella förhållanden.
Den typ av attack som buggen öppnar för kallas Man-in-the-middle attack, på svenska ibland översatt till Janus-attack*.
Om en angripare skulle lyckas genomföra attacken skulle det kunna få mycket allvarliga konsekvenser för offret.
Enligt säkheretsexperten Chris Paget som studerat buggen kan den användas för dataintrång i både persondatorer och servrar.
- Buggen finns på protokollnivå. Så det är mycket som måste uppdateras när vi har en ny version: webbläsare, webbservrar, lastbalanserare, webbacceleratorer, e-postservrar, SQL-servrar, ODBC-drivrutiner, peer-to-peer protokoll med mera, säger Chris Paget.
Ett ytterligare problem är att buggen av misstag blev offentlig via en mailinglista förra onsdagen. En tekniker på SAP upptäckte den och eftersom han inte insåg allvarligheten i den publicerade han uppgifter om den på IETF:s e-postlista.
Det har satt extra fart på tillverkarna att ta fram en lagning. Buggen har varit känd i inre kretsar sedan augusti. Arbetet med att laga den har gjorts genom organisationen ICASI, Industry Consortium for Advancement of Security on the Internet, under namnet ”Project Mogul”.
Buggen antas ha funnits i flera år men så vitt känt har den inte använts för attacker.
- Vi anser att det är en allvarlig bugg, men det är inte världens undergång, säger Sarah Fender på Phone Factor, till Computerworld.
* Efter den romerke guden Janus, som hade ett ansikte bakåt och ett framåt. Han har även passande nog givit namn åt månaden januari.
Den typ av attack som buggen öppnar för kallas Man-in-the-middle attack, på svenska ibland översatt till Janus-attack*.
Om en angripare skulle lyckas genomföra attacken skulle det kunna få mycket allvarliga konsekvenser för offret.
Enligt säkheretsexperten Chris Paget som studerat buggen kan den användas för dataintrång i både persondatorer och servrar.
- Buggen finns på protokollnivå. Så det är mycket som måste uppdateras när vi har en ny version: webbläsare, webbservrar, lastbalanserare, webbacceleratorer, e-postservrar, SQL-servrar, ODBC-drivrutiner, peer-to-peer protokoll med mera, säger Chris Paget.
Ett ytterligare problem är att buggen av misstag blev offentlig via en mailinglista förra onsdagen. En tekniker på SAP upptäckte den och eftersom han inte insåg allvarligheten i den publicerade han uppgifter om den på IETF:s e-postlista.
Det har satt extra fart på tillverkarna att ta fram en lagning. Buggen har varit känd i inre kretsar sedan augusti. Arbetet med att laga den har gjorts genom organisationen ICASI, Industry Consortium for Advancement of Security on the Internet, under namnet ”Project Mogul”.
Buggen antas ha funnits i flera år men så vitt känt har den inte använts för attacker.
- Vi anser att det är en allvarlig bugg, men det är inte världens undergång, säger Sarah Fender på Phone Factor, till Computerworld.
* Efter den romerke guden Janus, som hade ett ansikte bakåt och ett framåt. Han har även passande nog givit namn åt månaden januari.
Den här artikeln har 0 kommentarer:
