安全研究員Marsh Ray與Steve Dispensa指出 ,TLS 1.0+ 與SSL 3.0+協議中存在安全漏洞 ,可被用於實施中間人攻擊(man-in-the-middle,MITM)。 TLS的問題主要出在“認證空檔”(authentication gap)上,在加密認證流程中,由於服務器與客戶端之間的認證會出現不持續的狀況,使得攻擊者可趁機綁架數據串。這個漏洞也讓攻擊者得以以中間人攻擊的手法來入侵Https服務器。資深安全研究員Chris Paget表示 , 這是通訊協議層次的漏洞,必須修改SSL與TLS運作的模式才能修正問題。Ray與Dispensa已經將問題提報給行業組織ICASI,該組織由思科、 IBM、英特爾、Juniper、微軟與諾基亞組成。他們也將此事通知IETF組織,以及部分開源SSL項目。9月29日,多個組織已經開會決定成立一個 負責處理修復方案的項目Project Mogul。
From: http://it.solidot.org/it/09/11/09/0059246.shtml
哎,又有的搞了