Браузеры пропускают поддельные SSL-сертификаты

Если во время проведения платежей через PayPal вы используете Internet Explorer, Google Chrome или Apple Safari для Windows, самое время задуматься о переходе на более безопасный Firefox. А все потому, что вчера один из хакеров опубликовал фальшивый SSL-сертификат, эксплуатирующий дыру в библиотеке CryptoAPI от Microsoft, с которой работают эти браузеры. Хотя сертификат поддельный, все три веб-обозревателя принимают его за легитимный SSL-сертификат, подтверждающий подлинность PayPal. Несмотря на то, что данный баг был продемонстрирован Мокси Марлинспайком более девяти недель назад, в Microsoft его все еще не закрыли.

Опубликованный «0-префикс сертификат» для PayPal – это серьезный удар по сетевой безопасности, поскольку теперь хакеры могут с легкостью преодолевать одну из самых старейших и надежных систем защиты от атак «man-in-the-middle».

Несмотря на то, что опубликованный в понедельник сертификат является демонстративно фальшивым, его все равно можно использовать вместе с выпущенной ранее утилитой SSLSniff и добиться того, что браузеры не будут выдавать никакого предупреждения при переходе на подставную страницу, даже если ее адрес начинается с «https».

Последний сертификат использует уязвимость в CryptoAPI, позволяющую игнорировать все знаки, следующие за символами «» и «0». Чтобы воспользоваться дырой, злоумышленнику нужно получить обычный сертификат своего сайта, а затем вставить его имя и символ «0» сразу же после названия ресурса, за который он желает выдать нужный ему веб-сайт.

Разработчики из Mozilla пропатчили эту дыру уже через несколько дней после того, как о ней было рассказано на конференции BlackHat. На данный момент единственным способом защитить себя от этого критического бага будет переход на Firefox 3.х

Источник: Хакер.ру