Samme sårbarhet fjernet fra alle store nettlesere

Kunne gi angripere tilgang til fortrolig informasjon.

Med HSTS-støtte i nettleserne kan nettsteder fortelle nettlesere at de aldri skal besøke nettstedet ved hjelp av en ikke-kryptert forbindelse. Det er et virkeligmiddel mot angrep som utnytter den typen sårbarheter som nå har blitt fjernet i samtlige av de store nettleserne.
Med HSTS-støtte i nettleserne kan nettsteder fortelle nettlesere at de aldri skal besøke nettstedet ved hjelp av en ikke-kryptert forbindelse. Det er et virkeligmiddel mot angrep som utnytter den typen sårbarheter som nå har blitt fjernet i samtlige av de store nettleserne. Bilde: Joerg Habermeier / Alamy/All Over Press
Harald BrombachHarald BrombachNyhetsleder
25. sep. 2015 - 10:04

I alle fall seks nettleserleverandører har den siste måneden kommet med en sikkerhetsoppdatering som fjerner en sårbarhet som har kunnet utnyttes til å avlytte tilsynelatende krypterte forbindelser.

Cookies

Amerikanske CERT skriver denne uken i et notat at sårbarheten går ut på at cookies (informasjonskapsler) som settes via HTTP-spørringer kan bli brukt til å omgå HTTPS og dermed avduke privat informasjon.

Sårbarheten har vært kjent for de fleste av nettleserleverandørene siden mai i år. Sikkerhetsforskerne som oppdaget den, presenterte den under Usenix-konferansen i august.

Ifølge forskerne kan en cookie inneholde et «sikker»-flagg som indikerer at den bare skal sende over HTTPS-forbindelser. Likevel er det ikke noe korresponderende flagg som indikerer hvordan eller av hvilket domene cookien har blitt satt.

Leste du denne? Derfor har Microsoft Edge to versjonsnumre 

Avlytting

Ifølge forskerne kan angripere som opptrer i som en «man-in-the-middle» i en HTTP-forbindelse blant annet injisere cookies som vil være knyttet til etterfølgende HTTPS-forbindelser. 

For eksempel kan en angriper sette cookies for example.com som overstyrer den virkelige cookien til www.example.com når en bruker laster HTTPS-innhold.

Forskerne har funnet cookie-relaterte sårbarheter på nettstedene til store aktører som Google og Bank of America, og disse blir ifølge forskerne mer alvorlige på grunn av implementeringssvakhetene som nå har blitt rettet i de fleste større nettlesere.

Sporbar uansett? HTTPS kan gi supercookie 

Botemiddel

Nettsteder kan ta i bruk teknologien HTTP Strict Transport Security (HSTS) for å hindre angrep som dreier seg om kapring av cookies eller nedgradering av sikkerheten til forbindelsen mellom nettleser og webserver. Det forutsetter dog at brukerne benytter en relativt oppdatert nettleser.

Internet Explorer fikk først støtte for HSTS i juni i år, og kun i versjon 11. Eldre versjoner av Internet Explorer bør derfor helst ikke brukes.

Andre potensielle løsninger er omtalt i CERT-notatet.

Mer om HSTS: IE blir mer angrepssikker

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.