PhoneFactor公司的两名安全专家Marsh Ray与Steve Dispensa近日公开了他们在TLS/SSL安全协议中发现的安全漏洞。TLS (传输层保密协议Transport Layer Security)以及SSL(Socket层保密协议Secure Sockets Layer)是两个被在线零售商在网络交易过程中广泛使用的安保协议。两位专家本周四在自己的博客上公开了这两个安全协议中的漏洞,Ray今年8月份首次发现了这些漏洞,并于9月初将这些漏洞展示给Dispensa。专家们表示,攻击者可以利用这种漏洞劫持用户的浏览器,并伪装成合法用户。
两位专家表示,由于TLS协议中验证服务器及客户机身份的一连串动作中存在前后不连贯的问题,因此便给了攻击者可乘之机。不仅如此,这种漏洞还给攻击者发起Https攻击提供了便利,Https协议是Http与TLS协议的集合体,目前许多在线交易均使用这种协议。
据另一位安全专家Chris Paget表示,TLS协议中存在的这种漏洞在SSL协议上同样存在。
发现这一漏洞之后,Ray和Dispensa很快将其报告给了网络安全产业联盟(ICASI),该联盟由思科,IBM,Intel,Juniper,微软以及诺基亚创立。同时他们还将其报告给了Internet工程任务组(IETF)以及几家开源的SSL项目组织。
9月29日,这些团体经过讨论后决定推出一项名为Mogul的计划,该计划将负责修补这个漏洞,计划的首要任务是尽快推出新的协议扩展版,以修复该漏洞。Ray称他预计近期各大厂商便会将此事的处理结果作出公开声明,并出台临时的解决办法。