Mozilla Firefox/Google Chrome SPDY协议加密问题漏洞-一一网

Mozilla Firefox/Google Chrome SPDY协议加密问题漏洞

4年前更新

1050

漏洞信息详情

Mozilla Firefox/Google Chrome SPDY协议加密问题漏洞

CNNVD编号：CNNVD-201209-347

危害等级：低危
CVE编号：
CVE-2012-4930
漏洞类型：

加密问题
发布时间：

2012-09-19
威胁类型：

远程
更新时间：

2012-09-19
厂商：

google
漏洞来源：

漏洞简介

SPDY是Google开发的基于传输控制协议(TCP)的应用层协议。

Mozilla Firefox，Google Chrome及其他多个产品使用的SPDY协议3和之前版本中存在漏洞，该漏洞源于执行压缩数据加密时没有正确模糊未加密数据的长度。中间人攻击者可通过提交一系列猜测请求，观察到压缩数据长度的变化(也称CRIME攻击)来获取明文HTTP头信息，造成敏感信息泄露(如cookie信息)。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://bugzilla.redhat.com/show_bug.cgi?id=857737

参考网址

来源: community.qualys.com

链接:https://community.qualys.com/blogs/securitylabs/2012/09/14/crime-information-leakage-attack-against-ssltls

来源: bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=857737

来源: www.theregister.co.uk

链接:http://www.theregister.co.uk/2012/09/14/crime_tls_attack/

来源: www.iacr.org

链接:http://www.iacr.org/cryptodb/data/paper.php?pubkey=3091

来源: www.ekoparty.org

链接:http://www.ekoparty.org/2012/thai-duong.php

来源: threatpost.com

链接:http://threatpost.com/en_us/blogs/crime-attack-uses-compression-ratio-tls-requests-side-channel-hijack-secure-sessions-091312

来源: isecpartners.com

链接:http://isecpartners.com/blog/2012/9/14/details-on-the-crime-attack.html

来源: arstechnica.com

链接:http://arstechnica.com/security/2012/09/crime-hijacks-https-sessions/

受影响实体

Google Chrome

© 版权声明

文章版权归作者所有，未经允许请勿转载。

THE END

喜欢就支持一下吧

相关推荐