Сайты с соединением HTTPS уязвимы перед атакой Logjam

Десятки тысяч сайтов, серверов и прочих сервисов глобальной сети под защитой протокола HTTPS оказались уязвимы перед новой атакой, которая позволяет читать и менять проходящие через зашифрованное соединение данные. Из первого миллиона сайтов уязвимость может быть на 8,4%, среди почтовых серверов с адресами IPv4 это значение ещё выше. Источником угрозы является уязвимость в протоколе TLS, который используется сайтами для установки зашифрованного соединения с пользователями.

Атака под названием Logjam может быть проведена против серверов, использующих алгоритм обмена ключами Диффи-Хеллмана. Он позволяет даже при работе в общедоступном канале создать секретный ключ для установления связи. Уязвимость стала результатом ограничений правительства США на экспорт программного обеспечения, которые были введены в 90-е годы. Их цель состояла в том, чтобы не предоставлять самые передовые системы безопасности другим государствам, не усложняя работу своим спецслужбам.

Злоумышленники с возможностью мониторинга трафика между пользователем и сервером с данным алгоритмом могут внедрять код, который заставляет использовать слабое 512-битное шифрование. То же самое происходит в другой недавней уязвимости под именем FREAK.

Пока защиту от атак Logjam предоставляет только обновлённый браузер Internet Explorer. Исследователи ведут работы с создателями браузеров Chrome, Firefox и Safari, чтобы использовался как минимум 1024-битный ключ.