Атака на WPA2

https://bugtraq.ru/rsn/archive/2017/10/03.html

Мати Ванхоф (Mathy Vanhoef) из imec–DistriNet, KU Leuven опубликовал материалы своего будущего выступления на декабрьской конференции Black Hat Europe, посвященного классу атак на WPA2, названному Key Reinstallation Attacks (KRACK). Уточняется, что за время с подачи этих материалов на рассмотрение (19 мая) был обнаружен еще более простой способ реализации этой атаки, который будет обнародован на конференции.

Идея атаки заключается во внедрении в четырёхэтапный процесс "рукопожатия" WPA2 с помощью сбора и повторной отправки сообщений с 3 и 4 этапов. При этом атакующему удается заставить клиентов сбросить счетчики пакетов, играющих роль вектора инициализации. При использовании протокола AES-CCMP появляется возможность дешифровки передаваемых пакетов, а в случае протоколов WPA-TKIP либо GCMP еще и возможность внедрения своей информации.

Плохая новость заключается в том, что с большой вероятностью уязвимы все современные wifi-устройства. Хорошая - в том, что для устранения уязвимости достаточно исправить любого...»»
обсуждение | Telegram | Facebook | Twitter

Outlook полгода отправлял зашифрованные письма открытым текстом

https://bugtraq.ru/rsn/archive/2017/10/02.html

В последнем обновлении Microsoft исправила неприятную уязвимость в Outlook, существовавшую по крайней мере полгода и делавшую бессмысленным использование S/MIME. Несмотря на то, что отправляемые письма честно помечались как зашифрованные, создавая у отправителя иллюзию защищенности, их текст попадал в письмо еще и в блоке с открытым текстом, доступным для просмотра всем транзитным узлам.
обсуждение | Telegram | Facebook | Twitter