FREAK缺陷

1990年代時，美國對於貨物的出口設立了一些規定，從而引入了這個缺陷。規定中指出，美國軟體製造商出口的軟體只能使用512位元及以下的RSA加密（即所謂的出口級加密）。此舉是為了便於NSA破譯加密。時至2015年，隨著計算能力的發展，破解這種加密已經不再是政府機構才能做到的事，任何人只要擁有充足的計算資源，就能通過普通數域篩選法加上約100美元的雲端運算服務輕而易舉地將其破譯。這個缺陷還能和中間人攻擊結合利用，只要先破譯網站的512位元弱加密，再發動中間人攻擊，就能使任何允許使用512位元出口級金鑰的網站失去安全保障。此漏洞於2015年發現，但從1990年代開始就已經存在。

FREAK漏洞由IMDEA、INRIA和微軟研究院的研究人員共同發現。^[1] OpenSSL中存在的此漏洞在公共漏洞和暴露系統中的編號是CVE-2015-0204。^[2]

受到漏洞影響的軟體及裝置包括蘋果的Safari、Google 安卓系統上的預設瀏覽器，及OpenSSL。^[3]^[1] 微軟還表示全版本的Windows系統上的SChannel傳輸層加密實現都受到FREAK漏洞影響。^[4]SChannel中存在的漏洞的CVE編號是CVE-2015-1637。^[5] 而蘋果的安全傳輸功能中的漏洞的CVE編號是CVE-2015-1067。^[6]

受到漏洞影響的網站包括美國聯邦政府網站fbi.gov、whitehouse.gov、nsa.gov，^[7] 一個安全團隊的測試發現，36%的被測HTTPS網站都受到漏洞影響。^[8] 根據IP2Location LITE的地理定位，35%的受影響伺服器都位於美國。^[9]

有新聞報導稱此漏洞是「潛在的災難」，^[10]是美國政府意圖控制加密技術傳播的「意外後果（英語：Unintended consequence）」。^[7]

截至2015年3月3日 (2015-03-03)^[update]，各軟體廠商已在準備發布修復漏洞後的新版本軟體。^[7]^[8] 2015年3月9日，蘋果發布了iOS 8及OS X作業系統的漏洞修補程式。^[11]^[12] 2015年3月10日，微軟為所有仍在技術支援周期內的Windows系統（Windows Server 2003、Vista及後續版本）發布了漏洞修補程式。^[13] Google Chrome 41和Opera 28也已採取相應漏洞緩解措施。^[14] Mozilla Firefox不受此漏洞影響。

概要

參見

參考來源

外部連結

Wikiwand - on