Девять недель спустя после того, как Мокси Марлинспайк продемонстрировал свой
способ подделки SSL-сертификатов для практически любого сайта в интернете, эта
уязвимость в Internet Explorer по-прежнему остается непропатченной.

Баг кроется в прикладном интерфейсе CryptoAPI и позволяет обманным путем
заставить IE, а также другие приложения, работающие с этим кодом, принимать
подставные SSL-сертификаты. Данную методику можно использовать для маскировки
под другие веб-ресурсы, VPN и почтовые серверы.

Все дело в том, что уязвимость позволяет игнорировать все знаки, следующие за
символами “\” и ”0”, в то время как выпускающие сертификаты организации смотрят
на полное доменное имя, вне зависимости от того, содержит оно эти символы или
нет.

Таким образом, злоумышленник может завести на имя своего сайта легальный
сертификат, а затем представить его как сертификат, выданный другому ресурсу.
Например, если бы нужно было выдать сертификат сайта thoughtcrime.org за
сертификат www.bankofamerica.com , то строка в нем выглядела бы следующим
образом:

www.bankofamerica.com\*thoughtcrime.org

В числе браузеров, обрабатывающих SSL-сертификаты через библиотеку от
Microsoft, находятся Google Chrome и Apple Safari для Windows. И эти браузеры, и
IE будут показывать сайт, заверенный поддельным сертификатом, безо всякого
предупреждения. В отличие от них, разработчики Firefox устранили данную дыру
спустя несколько дней после того, как она была продемонстрирована на конференции
Black Hat.

Когда этот баг закроет Microsoft, пока не ясно.



Оставить мнение