PhoneFactor公司的兩名安全專家Marsh Ray與Steve Dispensa近日公開了他們在TLS/SSL安全協(xié)議中發(fā)現(xiàn)的安全漏洞。TLS (傳輸層保密協(xié)議Transport Layer Security)以及SSL(Socket層保密協(xié)議Secure Sockets Layer)是兩個被在線零售商在網(wǎng)絡(luò)交易過程中廣泛使用的安保協(xié)議。兩位專家本周四在自己的博客上公開了這兩個安全協(xié)議中的漏洞，Ray今年8月份首次發(fā)現(xiàn)了這些漏洞，并于9月初將這些漏洞展示給Dispensa。專家們表示，攻擊者可以利用這種漏洞劫持用戶的瀏覽器，并偽裝成合法用戶。

兩位專家表示，由于TLS協(xié)議中驗(yàn)證服務(wù)器及客戶機(jī)身份的一連串動作中存在前后不連貫的問題，因此便給了攻擊者可乘之機(jī)。不僅如此，這種漏洞還給攻擊者發(fā)起Https攻擊提供了便利，Https協(xié)議是Http與TLS協(xié)議的集合體，目前許多在線交易均使用這種協(xié)議。

據(jù)另一位安全專家Chris Paget表示，TLS協(xié)議中存在的這種漏洞在SSL協(xié)議上同樣存在。

發(fā)現(xiàn)這一漏洞之后，Ray和Dispensa很快將其報告給了網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟（ICASI)，該聯(lián)盟由思科，IBM，Intel，Juniper，微軟以及諾基亞創(chuàng)立。同時他們還將其報告給了Internet工程任務(wù)組（IETF）以及幾家開源的SSL項目組織。

9月29日，這些團(tuán)體經(jīng)過討論后決定推出一項名為Mogul的計劃，該計劃將負(fù)責(zé)修補(bǔ)這個漏洞，計劃的首要任務(wù)是盡快推出新的協(xié)議擴(kuò)展版，以修復(fù)該漏洞。Ray稱他預(yù)計近期各大廠商便會將此事的處理結(jié)果作出公開聲明，并出臺臨時的解決辦法。

【編輯推薦】

1. Juniper Networks獲亞太區(qū)SSL VPN市場大獎
2. 聯(lián)想網(wǎng)御商密產(chǎn)品SJJ0805 SSL VPN 亮相
3. 淺析用OpenSSL生成pem密鑰文件的方法