36%的SSL/TLS網站受到影響
當我們對超過1.4億支持SSL/TLS的網站進行掃描后��,發(fā)現(xiàn)其中至少有36%的個體存在該漏洞��,并支持出口級RSA加密�。
在上世紀90年代�,破解512位的密鑰需要出動超級電腦�。而今天��,我們只需要花費7小時+約100美金�,就可以輕松搞定這種加密機制。
如果用戶正在使用一個含有漏洞的設備�����,我們可以嘗試利用FREAK漏洞對它進行攻擊��,F(xiàn)在像安卓��、蘋果手機�,以及運行OS X系統(tǒng)的蘋果Mac電腦,如果該設備含有SSL/TLS協(xié)議漏洞���,即使使用HTTPS網站后依然可能遭受中間人攻擊�。好在Windows和Linux用戶��,目前并未受到該漏洞影響�����。
FREAK漏洞與POODLE(貴賓犬)漏洞的相似性
FREAK與POODLE這兩個漏洞還是有一定的相似性的,POODLE是利用安全套件進行降級回退攻擊�,強迫終端使用低版本SSL/TLS;而FREAK則只影響那些使用出口級RSA加密算法的版本����。
安全研究人員們正在維護一個含有漏洞的網站列表,并鼓勵網站管理員啟用向前保密(一對一限制訪問)�,并且禁用對出口級套件的支持,其中包括所有已知的不安全加密機制����。
您也可以使用在線SSL FREAK測試攻擊,檢測網站是否存在漏洞�����。
蘋果和谷歌計劃修復FREAK漏洞
谷歌公司表示安卓已經把補丁下發(fā)到合作廠商����。同時谷歌也號召所有網站管理員,禁用對出口級認證的支持���。而蘋果公司也對此進行了回應����,并表示:“我們下周進行軟件升級時,會對iOS和OS X系統(tǒng)進行相應的漏洞修復�������!
