SSL協定不安全波及範圍大

2009 / 11 / 10

編輯部

手機雙因素認證技術供應商PhoneFactor 研究人員Marsh Ray及Steve Dispensa於日前發現了SSL(Secure Sockets Layer)及TLS (Transport Layer Security)的安全漏洞。研究人員表示，這是通訊協定層次的漏洞，必須修改SSL與TLS運作的模式才能修正問題。客戶端及伺服器端的應用程式必需採用最新的SSL函式庫，使用者也必須更新所有使用SSL的軟體才能確保安全。

TLS及其前身SSL常被網路商店與網路銀行用來強化網路交易的安全性，攻擊者會利用所謂憑證缺口(authentication gap)，在加密認證過程中，由於伺服器與用戶端之間的認證會出現不持續的狀況，使得其趁機綁架資料串，此外，該漏洞也將可能被利來以中間人（man-in-the-middle）攻擊的手法入侵Https伺服器，同樣，SSL也受到讓漏洞影響。

目前已有多家廠商如，思科、IBM、英特爾、微軟等已著手進行漏洞的修補，並於日前建立一初步解決方式，而該方案將於近期宣佈。

SSL Secure Sockets Layer TLS 中間人 man-in-the-middle Transport Layer Security