Kryptera mail
Felet ligger i SSL-protokollet, mest känt som den teknik som används för säker surfning på webbplatser som börjar med HTTPS och låter angripare avlyssnar säker SSL (Secure Sockets Layer) -kommunikation mellan datorer med hjälp av vad som är känt som en man-i-mitten attack.
Även om felet endast kan utnyttjas under vissa omständigheter kan det användas för att hacka in i servrar i delat värdemiljöer, postservrar, databaser och många andra säkra applikationer, enligt Chris Paget, en säkerhetsforskare som har studerat problemet.
[Läs vidare: Så här tar du bort skadlig kod från din Windows-dator]
"Det är en protokollnivåfel. " sa Paget, chefstekniker med en säkerhetskonsult som heter H4rdw4re. "Det finns många saker som måste lösas på den här: Webbläsare, Webservrar, Webbelastare, Webacceleratorer, Mailservrar, SQL Servrar, ODBC-drivrutiner, Peer-to-Peer-protokoll."Även om en angripare först måste hacka in i offrets nätverk för att starta man-i-mitten attacken, skulle resultaten bli förödande - speciellt om de används i en riktade attack för att få tillgång till en databas eller en postserver, Säger Paget.
Eftersom det används så mycket, är SSL ständigt under säkerhetsforskares mikroskop. I slutet av förra året fann forskare ett sätt att skapa falska SSL-certifikat som skulle kunna lita på vilken webbläsare som helst, och i augusti presenterade forskare en handfull nya attacker som kan äventyra SSL-trafiken. Men i motsats till de attacker som hade att göra med den infrastruktur som används för att hantera SSL: s digitala certifikat ligger den här senaste buggen i SSL-protokollet själv och kommer att bli mycket svårare att fixa.
Ytterligare problem är att felet var av misstag avslöjade på en obskur postlista onsdag, tvinga leverantörer till en galen scramble att patchera sina produkter.
Problemet upptäcktes i Auguust av forskare på PhoneFactor, ett mobiltelefonsäkerhetsföretag. De hade arbetat de senaste två månaderna med ett konsortium av teknikleverantörer kallat ICASI (Industry Consortium for Security of Internet Security) för att samordna en branschövergripande åtgärd för problemet, som heter "Project Mogul." Men deras försiktiga planer kastades i disarray onsdag när SAP-ingenjören Martin Rex snubblat över buggen på egen hand. Uppenbarligen omedveten om allvaret av frågan, lade han fram sina observationer i frågan till en IETF-diskussionslista. Det publicerades sedan av säkerhetsforskare HD Moore.
Vid onsdagseftermiddagen talade tillräckligt många personer om att PhoneFactor bestämde sig för att gå offentligt med sina resultat. "Vid den tiden kände vi att de dåliga killarna visste och vi kände att vi hade ett ansvar för de bra killarna att veta också", säger Sara Fender, telefonfaktors vice president för marknadsföring. Fender kunde inte säga vem som var redo att patchera Problemet, men hon noterade att ett antal open source-produkter är "ängsliga" för att skjuta ut en korrigeringsfil. "Jag tror att vi kommer se några patchar inom en snar framtid," sa hon.
ICASI kunde inte nås för kommentar onsdag kväll.
Även om säkerhetsexperter säger att felet troligtvis har funnits i flera år, är det inte trodde att ha utnyttjats i några angrepp. "
" Medan vi anser att det är en materiell sårbarhet, är det inte världens ände ", säger Fender.
För att göra detta har de utnyttjat ett fel i De digitala certifikat som används av webbplatser för att bevisa att de är vem de hävdar vara. Genom att utnyttja kända brister i MD5-hash-algoritmen som används för att skapa några av dessa certifikat, kunde forskarna hacka Verisigns certifikatmyndighet RapidSSL.com och skapa falska digitala certifikat för alla webbplatser på Internet.
Hashes används att skapa ett "fingeravtryck" för ett dokument, ett nummer som är avsett att identifiera ett visst dokument och enkelt beräknas för att verifiera att dokumentet inte har ändrats under transitering. MD5-hackningsalgoritmen är dock felaktig, vilket gör det möjligt att skapa två olika dokument som har samma hashvärde. Så här kan någon skapa ett certifikat för en phishing-webbplats som har samma fingeravtryck som certifikatet för den äkta sajten.
Red Hat har lanserat ett nytt partnerprogram för att säkerställa att företagets Linux- och JBoss-program är kärnkomponenter i en cloud-computing-infrastruktur och för att garantera att Red Hat-baserade applikationer kommer att köras på ett tillförlitligt och säkert sätt i molnet. Det nya Premier Cloud Provider-certifierings- och partnerprogrammet presenterade i veckan certifierar leverantörer av cloud-computing för att erbjuda program och infrastruktur baserat på Red Hat-programvaran, inklusive
Amazon Web Services, som redan har ett teknologipartnerskap att driva RHEL som en del av sitt elastiska komput Cloud (EC2) erbjudande, har skrivit på att bli den första Red Hat Premier Cloud Provider Partner.
1. T-Mobile, Microsoft berätta för Sidekick-användare att vi fortsätter att göra allt vi kan för att återställa data och Sidekicks lektion: Säkerhetskopiera dina data: T-Mobile och Microsoft talade äntligen för att de skulle hantera problem som orsakade Sidekick-användare att förlora data och strider mot anslutningsproblem. Användare av smarttelefonen hade problem för dagar, så företagens försenade reaktion störde många av dem. Under tiden fungerar problemen som en påminnelse om att det är vikti
2. Starent buy fortsätter Ciscos riktning mot samarbete och video: Cisco Systems planerar att lägga till Internet Protocol-baserad mobilinfrastrukturleverantör Starent Networks till sin portfölj för en cool 2,9 miljarder US-dollar. Cisco meddelade den 1 oktober att det är att köpa videokonferens stalwart Tandberg för cirka 3 miljarder dollar. Kombinationen ledde Computerworlds Matt Hamblen att likna Cisco till en 1930-talet Hollywood mogul, med fingrarna som nått distribution och innehåll, inklu