FREAK 漏洞導致加密強度降低,全名叫 Factoring RSA Export Keys
會導致安全連線降低加密強度,因而讓網路犯罪集團更容易解開加密的資訊
此漏洞始於 1990 年代。當時,美國政府規定,凡是要出口的軟體「其使用的加密金鑰長度皆不得超過 512 位元」。 根據研究人員的說法,這樣的加密強度在 90 年代或許足夠
一旦含有漏洞的用戶端與伺服器之間的 HTTPS 連線遭到駭客從中攔截,駭客就能強迫連線採用老舊的出口等級加密方式。
只有含有 CVE-2015-0204 漏洞的 OpenSSL 版本才會遭到這項攻擊
OpenSSL 元件已在一月份釋出 CVE-2015-0204 漏洞修補程式 https://www.openssl.org/news/secadv_20150108.txt
openssl 需要升級到什麼版本
OpenSSL 1.0.1 DTLS users should upgrade to 1.0.1k. OpenSSL 1.0.0 DTLS users should upgrade to 1.0.0p. OpenSSL 0.9.8 DTLS users should upgrade to 0.9.8zd.
FREAK 是一項既嚴重又真實的漏洞,但需要一定的技術程度才能運用此漏洞發動攻擊
首先必須先對伺服器發動中間人攻擊。歹徒必須先取得用戶端和伺服器之間的 SSL 連線階段控制權, 然後才能強迫連線改用較低等級的加密。此外,歹徒還要截取加密的網路流量,取得降低加密等級的網路流量之後, 歹徒就能在幾小時之內加以暴力破解 (若是高等級的加密則可能需要數日或數星期才能破解)。
Microsoft 已證實所有的 Windows 版本皆含有此漏洞。 https://technet.microsoft.com/library/security/3046015 Red Hat 也確認第 6 和第 7 版的 Red Hat Enterprise Linux (RHEL) 也含有此漏洞。 https://access.redhat.com/articles/1369543 目前已知受 FREAK 漏洞影響的瀏覽器包括:Internet Explorer、Opera (Mac OS X / Linux) 及 Safari
留言