剛剛披露的Logjam漏洞(FREAK漏洞的變種)信息已經(jīng)發(fā)送給了瀏覽器制造商，個大網(wǎng)站的管理員們正在忙于對他們所管理的站點進(jìn)行更新和修復(fù)。

[[135525]]

目前，只有微軟的IE瀏覽器針對這個漏洞進(jìn)行了補(bǔ)丁更新。

TLS(傳輸層安全)協(xié)議用于對瀏覽器和網(wǎng)站服務(wù)器之間的通訊信息進(jìn)行加密，而Logjam漏洞目前仍然存在于這個協(xié)議中。黑客可以通過將他們自己介入用戶和服務(wù)器之間，便可以對原本安全的通訊信息進(jìn)行攔截——其中最典型的攻擊方法就是在公共Wi-Fi熱點中進(jìn)行“中間人”(MITM)攻擊，然后黑客便可以利用這個存在已久的漏洞輕松地破譯這些攔截到的信息。

同F(xiàn)REAK漏洞相似，Logjam(該漏洞由一群專家組成的國際團(tuán)隊揭露，這些專家來自于微軟公司，密歇根大學(xué)，INRIA以及一個法國研究機(jī)構(gòu))漏洞與一個棄之已久的加密標(biāo)準(zhǔn)有著密切的關(guān)系，該標(biāo)準(zhǔn)曾經(jīng)是唯一一個有資格由美國發(fā)布的加密標(biāo)準(zhǔn)。

那些加密密鑰能夠被現(xiàn)成的軟件和可購買的云計算服務(wù)快速地破解。

Logjam與FREAK的不同之處在于，它可以允許攻擊者對Web服務(wù)器進(jìn)行欺騙，讓服務(wù)器認(rèn)為它自己當(dāng)前正在使用的密鑰是一個健壯的加密密鑰，而實際上并不是這樣。

weakdh.org網(wǎng)站是一個由Logjam團(tuán)隊建立的信息網(wǎng)站。在客戶端，你可以通過訪問weakdh.org網(wǎng)站來查看你的瀏覽器是否有這個漏洞。當(dāng)你訪問這個網(wǎng)站時，將會在屏幕上彈出一條信息，要么是”好消息!你的web瀏覽器不會受到Logjam攻擊!”，或者是”警告!你的web瀏覽器無法抵御Logjam攻擊，并且瀏覽器在被欺騙之后會使用弱密碼。你應(yīng)當(dāng)立即升級你的瀏覽器。”

Computerworld對當(dāng)前幾款主流的瀏覽器進(jìn)行了Logjam測試。以下是測試的結(jié)果。

研究人員在他們的技術(shù)報告(下載PDF)中進(jìn)行了詳細(xì)說明，盡管其他的瀏覽器制造商已經(jīng)接到了通知并且正在努力進(jìn)行補(bǔ)丁修復(fù)，但是目前只有微軟公司的IE瀏覽器(特別是IE11，該版本是Computerworld測試所用的版本)進(jìn)行了相應(yīng)的補(bǔ)丁更新。

微軟公司在5月12日發(fā)表的安全公告MS15-055中，聲明已對IE瀏覽器進(jìn)行了補(bǔ)丁修復(fù)。

對服務(wù)器端進(jìn)行的測試則更加的枯燥乏味。Diffie-Hellman密鑰交換是一種流行的加密算法，而Logjam團(tuán)隊已經(jīng)發(fā)表了一篇文章來告訴大家如何在底層部署Diffie-Hellman密鑰交換功能，并且對一個快速服務(wù)器進(jìn)行了測試。

用戶可以在網(wǎng)頁的文本框中輸入任意一個網(wǎng)站的域名便可查看結(jié)果。最好的結(jié)果是“好消息!這個網(wǎng)站不會受到Logjam攻擊，它支持ECDHE，而且不會使用DHE。”

研究人員在他們的技術(shù)報告(下載PDF)中進(jìn)行了詳細(xì)說明，盡管其他的瀏覽器制造商已經(jīng)接到了通知并且正在努力進(jìn)行補(bǔ)丁修復(fù)，但是目前只有微軟公司的IE瀏覽器(特別是IE11，該版本是Computerworld測試所用的版本)進(jìn)行了相應(yīng)的補(bǔ)丁更新。

微軟公司在5月12日發(fā)表的安全公告MS15-055中，聲明已對IE瀏覽器進(jìn)行了補(bǔ)丁修復(fù)。

對服務(wù)器端進(jìn)行的測試則更加的枯燥乏味。Diffie-Hellman密鑰交換是一種流行的加密算法，而Logjam團(tuán)隊已經(jīng)發(fā)表了一篇文章來告訴大家如何在底層部署Diffie-Hellman密鑰交換功能，并且對一個快速服務(wù)器進(jìn)行了測試。

用戶可以在網(wǎng)頁的文本框中輸入任意一個網(wǎng)站的域名便可查看結(jié)果。最好的結(jié)果是“好消息!這個網(wǎng)站不會受到Logjam攻擊，它支持ECDHE，而且不會使用DHE。”