Et av foredragene på Ekoparty i Buenos Aires skal ta for seg en angivelig svakhet i SSL/TLS-protokollen. Det er publisert informasjon om svakheter Apples passordsikkerhet for OS X Lion.
Forskere påstår de klarer å dekryptere SSL-trafikk
| Noen forskere påstår at de har oppdaget en svakhet i SSL/TLS-protokollen som brukes til å kryptere trafikk til og fra web-tjenere. Svakheten finnes i versjon 1.0 av TLS. Foreløpig tar det lang tid å dekryptere trafikken. Angrepet er derfor rettet mot login-cookies fra f.eks. PayPal. Angriperne må også ha tilgang til trafikk-strømmen mellom web-tjeneren og brukeren for å gjennomføre angrepet. Dette gjøres ved å lure brukeren til å laste javascript i nettleseren. Detaljer rundt svakheten skal publiseres på sikkerhetskonferansen "Ekoparty" i Buenos Aires senere denne uken Svakheten er utbedret i TLS v1.1, men denne protokollen er foreløpig lite implementert. TheRegister har skrevet en artikkel med detaljer rundt saken. |
||||
| Referanser | ||||
|---|---|---|---|---|
| http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/ |
Svakheter i passordsikkerhet i OS X Lion
| OX X Lion gir en lokal bruker mulighet til å endre passord uten å oppgi det gamle passordet. En lokal bruker kan også få tilgang til passord-hashene til andre brukere på systemet. Det har blitt sluppet et verktøy for å knekke disse hashene. Ingen av disse problemene fantes i forrige versjon av OS X. | ||||
| Anbefaling | ||||
|---|---|---|---|---|
| Vent på patch. | ||||
| Referanser | ||||
| http://www.defenceindepth.net/2011/09/cracking-os-x-lion-passwords.html http://www.theregister.co.uk/2011/09/19/apple_password_security_exposed/ |
||||