Apple en Google ontwikkelen patch voor nieuwe SSL-bug
Apple en Google zijn een patch aan het voorbereiden voor een nieuw ontdekte bug. Deze is gevonden in het webencryptieprotocol die beide bedrijven gebruiken in hun mobiele browsers. De FREAK-bug is begin deze week onthuld als laatste in een serie van kwetsbaarheden voor Secure Socket Layer (SSL) en Transport Layer Security (TLS). Dit zijn protocollen om het verkeer tussen een HTTPS-website en een browser te versleutelen.
Een man-in-the-middle-aanval kan verbindingen forceren tussen de browsers en websites om de sterke RSA-versleuteling terug te brengen naar een zwakkere versie. Deze versie is een resultaat van wetten uit de jaren negentig toen het illegaal was om producten met een sterke sleutel vanuit de Verenigde Staten te exporteren.
[related_article id=”158256″]
Door de nieuwe bug zijn duizenden websites kwetsbaar, waaronder die van de NSA. Juist die Amerikaanse inlichtingendienst heeft aangedrongen op een zwakkere versleuteling voor de export. Dat denkt Ed Felten, directeur van Princetons Center for Information Technology Policy.
“Dit is een belangrijke les over de gevolgen van beslissingen over het versleutelingsbeleid”, schrijft Felten in een blog. “De actie van de NSA in de jaren negentig komen nu terug als boemerang. Ze ondermijnen de bescherming van hun eigen website twintig jaar later.”
De FREAK-bug raakt SSL-/TLS-servers en browsers, met name OpenSSL-versies. Hieronder valt ook de standaardbrowser op alle versies van het besturingssysteem voor KitKat 4.4. Ook Safari van Apple op desktopsystemen en mobiele apparaten is kwetsbaar. Chrome is alleen in gevaar op Android (versie 40.0.2214.109) en op Mac OS X (versie 40.0.2214.11). Op andere systemen is de browser, net als Internet Explorer en Firefox, veilig.
Volgens Reuters werkt Apple aan patches tegen de bug. De bedoeling is dat ze volgende week verschijnen. De kans is groot dat Androidgebruikers langer moeten wachten. Google laat weten een oplossing aan de fabrikanten te hebben gegeven. Het is nu aan hen om dit te verspreiden onder de gebruikers. De vraag is alleen wanneer dat gebeurt.
Apple en Google zijn een patch aan het voorbereiden voor een nieuw ontdekte bug. Deze is gevonden in het webencryptieprotocol die beide bedrijven gebruiken in hun mobiele browsers. De FREAK-bug is begin deze week onthuld als laatste in een serie van kwetsbaarheden voor Secure Socket Layer (SSL) en Transport Layer Security (TLS). Dit zijn protocollen om het verkeer tussen een HTTPS-website en een browser te versleutelen.
Een man-in-the-middle-aanval kan verbindingen forceren tussen de browsers en websites om de sterke RSA-versleuteling terug te brengen naar een zwakkere versie. Deze versie is een resultaat van wetten uit de jaren negentig toen het illegaal was om producten met een sterke sleutel vanuit de Verenigde Staten te exporteren.
[related_article id=”158256″]
Door de nieuwe bug zijn duizenden websites kwetsbaar, waaronder die van de NSA. Juist die Amerikaanse inlichtingendienst heeft aangedrongen op een zwakkere versleuteling voor de export. Dat denkt Ed Felten, directeur van Princetons Center for Information Technology Policy.
“Dit is een belangrijke les over de gevolgen van beslissingen over het versleutelingsbeleid”, schrijft Felten in een blog. “De actie van de NSA in de jaren negentig komen nu terug als boemerang. Ze ondermijnen de bescherming van hun eigen website twintig jaar later.”
De FREAK-bug raakt SSL-/TLS-servers en browsers, met name OpenSSL-versies. Hieronder valt ook de standaardbrowser op alle versies van het besturingssysteem voor KitKat 4.4. Ook Safari van Apple op desktopsystemen en mobiele apparaten is kwetsbaar. Chrome is alleen in gevaar op Android (versie 40.0.2214.109) en op Mac OS X (versie 40.0.2214.11). Op andere systemen is de browser, net als Internet Explorer en Firefox, veilig.
Volgens Reuters werkt Apple aan patches tegen de bug. De bedoeling is dat ze volgende week verschijnen. De kans is groot dat Androidgebruikers langer moeten wachten. Google laat weten een oplossing aan de fabrikanten te hebben gegeven. Het is nu aan hen om dit te verspreiden onder de gebruikers. De vraag is alleen wanneer dat gebeurt.