Vulnerebilities - Menu  Úvod  Co je zranitelnost  Typy zranitelnosti(EN)  Obrana před zranitelností  HeartBleed  Puddle  Freak  Bash  LogJam 

Freak

 

Freak (" Factoring RSA Exportní Keys ") je bezpečnostní využít kryptografického slabosti v SSL / TLS protokoly představil desítky let dříve pro soulad s USA kryptografické vývozní předpisy . Jednalo se omezuje exportovat software používat pouze veřejné dvojice klíčů s RSA modulů 512 bitů nebo méně (tzv RSA_EXPORT klíčů), s cílem umožnit jim, aby se porušovala snadno pomocí NSA , ale ne jiných organizací s méně výpočetních zdrojů. Avšak tím, že na počátku 2010s, zvyšování výpočetního výkonu znamenalo, že by mohly být rozděleny kdokoli s přístupem k relativně skromnými výpočetních zdrojů s využitím známý Počet Field Sieve algoritmus, pomocí pouhých 100 dolarů na cloud computing služeb. V kombinaci se schopností man-in-the-middle manipulovat počáteční šifrovací jednání vlastní mezi koncovými body v souvislosti a skutečnost, že Finální hash záviselo pouze na hlavní tajemství, to znamenalo, že man-in-the- prostřední, jen s mírným množství výpočtů by mohl prolomit zabezpečení jakékoli webové stránky, který umožnil použití 512-bitovými klíči export-grade. Zatímco činem byl objeven teprve v roce 2015, jeho základní zranitelnosti byli přítomni po mnoho let, se datuje k 1990s.

Zranitelnost
Chyba byla nalezena výzkumníky z IMDEA , INRIA a Microsoft Research . FREAK útok v OpenSSL má identifikátor CVE CVE-2015-0204.

Zranitelné software a zařízení hotelu Apple 's Safari webový prohlížeč , výchozí prohlížeč v aplikaci Google 's Android telefon operační systém , Microsoft je Internet Explorer , a OpenSSL . Microsoft také uvedl, že jeho SChannel implementace s dopravou šifrování vrstva je zranitelný na verzi Freak útoku ve všech verzích systému Microsoft Windows . CVE ID pro zranitelnosti Microsoft v SChannel je CVE-2015-1637. CVE ID pro Apple zranitelnosti v Secure Doprava je CVE -2.015-1067.

Stránky touto chybou postiženy zahrnuty americkou federální vládou webových stránek fbi.gov, whitehouse.gov a nsa.gov, s asi 36% z HTTPS-použití webových stránek testovaných jednou zabezpečení skupiny, uvedené jako zranitelné vůči využít.  o geolokační analýzu pomocí IP2Location LITE základě 35% zranitelných serverů se nachází v USA.

Tiskové zprávy o exploit popsali jeho účinky jako "potenciálně katastrofální" a " nezamýšlený důsledek "úsilí vlády USA pro kontrolu šíření kryptografické techniky.

Jak března 2015 , prodejci byli v procesu uvolňování nový software, který by opravit chybu.  9. března 2015 Apple uvolnil aktualizace zabezpečení pro oba iOS 8 a OS X operační systémy, které fixních tuto chybu. 10. března 2015 společnost Microsoft vydala opravu, která pevnou tuto chybu zabezpečení pro všechny podporované verze systému Windows Server 2003 (, Vista a novější). Google Chrome 41 a Opera 28 také zmírněna proti tomuto chybu . Mozilla Firefox není zranitelný proti této vady.