Internet Explorer, Chrome (Android) en Safari kwetsbaar voor FREAK attack lek - update

En weer is een nieuw lek gevonden waardoor beveiligde internetverbindingen afgeluisterd kunnen worden. Het zogeheten FREAK attack lek is nog een restant van een NSA backdoor uit de jaren negentig. Onder andere Internet Explorer, Chrome voor Android en Safari zijn kwetsbaar.

Het FREAK lek zorgt ervoor dat een zwakke versleuteling van https-verkeer kan worden afgedwongen, waarna je privé-gegevens door kwaadwillenden onderschept kunnen worden als je aan het internetten bent. Deze zwakke versleuteling is in de jaren negentig op instigatie van de Amerikaanse inlichtingendienst NSA ingebouwd in het SSL-protocol voor beveiligde verbindingen, zodat zij de mogelijkheid hadden om via dit achterdeurtje versleuteld internetverkeer af te tappen.

Naar nu blijkt zijn de restanten van deze prehistorische code nog achtergebleven in bepaalde software en te misbruiken in Internet Explorer, Safari (Mac OS X en iOS), Chrome (Android), Android-browser (standaard browser in oudere Android-versies) en Opera (Mac en Linux). Firefox is niet kwetsbaar en Chrome voor Windows ook niet. Chrome voor Mac is net bijgewerkt om het lek te dichten.

Je kunt hier testen of jouw browser kwetsbaar is voor het FREAK lek

Apple brengt waarschijnlijk volgende week een update uit voor het lek in Safari in OS X en iOS. Microsoft werkt ook aan een oplossing voor Internet Explorer. Google en Opera hebben nog niet bekendgemaakt wanneer ze een update uitbrengen.

Update 10 maart: Apple heeft het FREAK lek in Safari gedicht met iOS 8.2 en Security Update 2015-002 voor OS X.

Update 11 maart: ook in Internet Explorer en Opera voor Mac en Linux is het FREAK-lek verholpen.

Reacties

Opera (tenminste de versie operausb1217 die ik gebruik) is naast Firefox ook VEILIG.

Met Int.Expl 11 krijg ik WEL de melding ONVEILIG. Maar ja dat was eigenlijk al bekend gezien het originele bericht.

afbeelding van redactie

De Windows-versie van Opera is niet kwetsbaar, maar Opera voor Mac en Linux wel.

Bijzonder, IE11 op mijn machine geeft als resultaat veilig. Maar dat is misschien ook logisch, denk ik, omdat SSL versleuteling is uitgeschakeld.Dat is al een heel oud advies om de kwetsbaarheid via ssl te voorkomen.

Inderdaad. Microsoft zou dit via een update uitschakelen maar die is waarschijnlijk nog steeds niet uitgebracht. Volgens mij ben je veilig met IE11 als je het volgende uitvinkt:
Internetopties/geavanceerd
SSL 2.0 gebruiken
SSL 3.0 gebruiken

Alleen TLS 1.0, 1.1 en 1.2 aangevinkt laten.

En niet te vergeten Maxhton Cloud Browser is onveilig,
http://www.gratissoftware...

Reageer

Plain text

  • Toegelaten HTML-tags: <a> <em> <strong> <br> <br /> <i> <b> <p>
  • Regels en alinea's worden automatisch gesplitst.
  • Adressen van webpagina's en e-mailadressen worden automatisch naar links omgezet.
  • <img> elements are lazy-loaded.
Controlevraag tegen spam
zu_d-korea