Megkezdődött az idei Black Hat konferencia, melyen szokásosan az IT-biztonsági szakma elmúlt évének minden bizonnyal legnagyobb kaliberű felfedezéseit mutatják be.

A tavalyi hisztéria után Moxie Marlinspkie idén is úgy érezte, hogy lenne feltornászni picit az emberek vérnyomását, ezúttal azonban a hacker olyan felfedezést hozott a batyujában, amitől az én szám is tátva maradt egy pillanatra:

Persze mielőtt bárki is elrohanna lemondani a netbank/paypal/ebay hozzáféréseit, megnyugtatásul közlöm, hogy az SSL még mindig jól érzi magát, egyes kliens oldali megvalósításokon azonban sürgős változtatásokat kell eszközölni! Marlinpsike arra jött rá, hogy ha egy tanúsító szervezetnél beregisztráljuk mondjuk a www.paypal.com\0.gonoszoldal.com-ot, akkor a CA a gonoszoldal.com-nál fog érdeklődni a kérelem érvényessége felől, majd kiadja a tanúsítványt. Amikor azonban egy pl. Firefox böngészőt használó kliens ellátogat egy, a fenti tanúsítvánnyal büszkélkedő weboldalra, a böngésző abbahagyja a tanúsítványhoz tartozó domaint jelölő karakterlánc olvasását az első NULL karakternél, és azt fogja gondolni, hogy a gonoszoldal.com helyett a paypal.com-mal kommuikál! Ugyanez játszódik le akkor is, ha a szemfüles felhasználó a böngészőben kézzel ellenőrzi a tanúsítványt, ugyanis ekkor szintén csak az első NULL-ig terjedő szöveg fog látszani a tanúsítvány tárgyánál.

Ez hatalmas szarvashiba az érintett böngészőgyártók részéről, reméljük, minél hamarabb orvosolják ezt a problémát.