? Apple och Google förbereda patchar för FREAK SSL fel

Apple och Google förbereder patchar för en nyligen avslöjade fel i webbkrypteringsprotokoll som används av de båda företagens mobila webbläsare.

Den FREAK bug avslöjas igår är den senaste i en serie av sårbarheter som påverkar Secure Sockets Layer (SSL) och Transport Layer Security (TLS) protokoll som används för att kryptera trafiken mellan en HTTPS webbplats och en webbläsare.

En man-in-the-middle angriparen kan tvinga anslutningar mellan drabbade webbläsare och webbplatser för att nedgradera från “starka” RSA-kryptering för en svagare version som kallas “exportkvalitet” RSA. Det svagare version är en biprodukt av lagar från 1990-talet som gjorde det olagligt att exportera från amerikanska produkter med stark kryptering.

Varför många brädor lämnar IT-säkerhet i första hand till säkerhetstekniker, och varför kan inte datanörd övertyga sina styrelser att spendera knappa pengar på att skydda information intressenter? Vi erbjuder vägledning om hur man stänger IT-säkerhetsstyrning gap.

Tusentals webbplatser är sårbara, bland annat av US National Security Agency – samma byrå som tryckte på för svagare export kryptering, enligt Ed Felten, chef för Princeton Centrum för informationsteknologi politik.

“Det är en viktig lärdom här om konsekvenserna av kryptopolitiska beslut: NSA: s agerande i 90-talet för att försvaga exporteras kryptering boomeranged på byrån, undergräva säkerheten i sin egen webbplats tjugo år senare,” Felten skrev på sin blogg igår.

Felet påverkar SSL / TLS servrar och klienter, i synnerhet OpenSSL webbläsare, såsom Android webbläsare som levereras med alla Android-enheter innan version 4.4 KitKat, enligt forskare vid INRIA i Paris som upptäckte felet. KitKat, som levereras med Chrome som standard, står för närvarande för cirka 40 procent av alla Android-enheter, men som fortfarande innebär merparten av Android-enheter påverkas.

Apples Safari-webbläsare på stationära och mobila enheter påverkas också. Dock är Chrome påverkas inte och inte heller Internet Explorer och Firefox.

FREAK: En annan dag, en annan allvarlig SSL säkerhetshål, Google avslöjar stor brist i föråldrad, men allmänt används SSL-protokollet, tio år gamla “FREAK” säkerhetsbrist kvar miljontals utsatta

Enligt Reuters är Apple utvecklar patchar för felet och kommer att driva ut dem nästa vecka. Ombedd att bekräfta tidpunkten för plåstret, Apple riktade webbplats till en artikel i Washington Post.

En patch för Android-användare kommer sannolikt att ta längre tid att komma fram. Google Reuters hade lämnat en fix till dess Android partner såsom mobiltelefontillverkare och transportörer, men det är inte klart om eller när dessa partners kommer att driva plåstret till slutanvändarna.

Google hade inte svarat på begäran om kommentar vid tidpunkten för offentliggörandet.

Uppdatering: Tester för senaste versionen av Chrome på FREAKattack.com klientkontroll för felet indikerar att Chrome för Android (version 40.0.2214.109) och Chrome för Mac OS X (40.0.2214.115) är sårbara, även om de inte erbjuder export -grade RSA.

Säkerhet, Vita huset utser först Federal Chief Information Security Officer, säkerhet, Pentagon kritiserats för cyber nödsituationer av regeringen vakthund, säkerhet, Chrome att starta märkning HTTP-anslutningar som osäkra, säkerhet, The Hyperledger Project växer som gangbusters

Vita huset utser först Federal Chief Information Security Officer

Pentagon kritiserats för cyber nödsituationer av regeringen vakthund

Krom att börja märkning HTTP-anslutningar som osäkra

Den Hyperledger Project växer som gangbusters