PhoneFactor公司的兩名安全專家Marsh Ray與Steve Dispensa近日公開了他們在TLS/SSL安全協議中發現的安全漏洞。TLS (傳輸層保密協議Transport Layer Security)以及SSL(Socket層保密協議Secure Sockets Layer)是兩個被在線零售商在網絡交易過程中廣泛使用的安保協議。兩位專家本周四在自己的博客上公開了這兩個安全協議中的漏洞，Ray今年8月份首次發現了這些漏洞，并于9月初將這些漏洞展示給Dispensa。專家們表示，攻擊者可以利用這種漏洞劫持用戶的瀏覽器，并偽裝成合法用戶。

兩位專家表示，由于TLS協議中驗證服務器及客戶機身份的一連串動作中存在前后不連貫的問題，因此便給了攻擊者可乘之機。不僅如此，這種漏洞還給攻擊者發起Https攻擊提供了便利，Https協議是Http與TLS協議的集合體，目前許多在線交易均使用這種協議。

據另一位安全專家Chris Paget表示，TLS協議中存在的這種漏洞在SSL協議上同樣存在。

發現這一漏洞之后，Ray和Dispensa很快將其報告給了網絡安全產業聯盟（ICASI)，該聯盟由思科，IBM，Intel，Juniper，微軟以及諾基亞創立。同時他們還將其報告給了Internet工程任務組（IETF）以及幾家開源的SSL項目組織。

9月29日，這些團體經過討論后決定推出一項名為Mogul的計劃，該計劃將負責修補這個漏洞，計劃的首要任務是盡快推出新的協議擴展版，以修復該漏洞。Ray稱他預計近期各大廠商便會將此事的處理結果作出公開聲明，并出臺臨時的解決辦法。

【編輯推薦】

1. Juniper Networks獲亞太區SSL VPN市場大獎
2. 聯想網御商密產品SJJ0805 SSL VPN 亮相
3. 淺析用OpenSSL生成pem密鑰文件的方法