web-dev-qa-db-ja.com

完全に安全でないブラウザがBEASTに対して脆弱ですか?

AES-CBCよりもRC4を優先するようにWebサーバーを構成する場合、人々はまだBEASTをかなり心配しています。しかし、ほとんどのブラウザーは、TLS 1.0を使用しているときでもBEASTを軽減します。

次のブラウザはありますか?

  1. [〜#〜] beast [〜#〜] または Lucky Thirteen に対して脆弱です
  2. リモートコード実行など、はるかに悪い既知の脆弱性はありません
  3. 無視できないユーザーベースがある

BEASTはまだCBCを避ける理由ですか?ラッキーサーティーンはどうですか?

6
CodesInChaos

BEASTには、被害者のブラウザで実行される敵対的なコードが必要です。このコードは、CBC関連の計算を実行するために、送信されたバイトを十分に「制御」して、ターゲットWebサイトに任意のリクエストを送信できます。特に、これを「単なるテキスト」にすることはできません。 BEASTはhadを作成して、 Same-Origin Policy を回避するようなチャネルを見つけます。彼らは2つ見つけました:

  • 1つはJavaであり、すぐに修正されました(そして未修正のJavaプラグインには他の大きな穴があります);
  • WebSocket のドラフトバージョンに1つあり、これは決して普及しなかった(ドラフトになる)ため、修正されました。実際、それはすでに修正されました攻撃が公開されたときでしたが、修正は偶然でした(それは何か他のものから保護するための変更でした)。

間違いなく、別のSOPホールが見つからない限り、今日のBEASTを悪用することはできません。さらに、そのようなSOPホールが見つかった場合でも、現在のブラウザは1/n-1 split whichalsoは、BEASTが適用されないようにします。この方法は、1年以上前に主要なWebブラウザに適用されています( this を参照)、そして昨年、これらのブラウザでリモート実行のバグが発見されなかったとは思いません。これは、確かに BEASTについてもう心配する必要はありませんそれでもTLS 1.2に切り替えても問題ありません。

The Lucky Thirteen attackは、おそらくbrowserに対する攻撃ではなく、- サーバー。ブラウザはサーバーへの多くのリクエストに関与する必要がありますが(BEASTと同様の設定)、リークはサーバーから発生します。サーバーは受信レコードを処理し、MAC検証は失敗しますが、微妙なタイミング測定が行われますPKCS#5のようなパディングが正しいかどうかを明らかにするかもしれません。 Lucky Thirteenが依存するリークを回避するために、ほとんどすべてのベンダー(少なくともオープンソースのベンダー)がコードを修正したのは 主張 です。

Webブラウザーのブランドとバージョンは、ラッキー13とはほとんど関係がありません。 理論的には、サーバーからクライアントに送信されたレコードの設定を逆にして攻撃する可能性がありますが、攻撃者はサーバーのresponsesを十分に制御できる必要があります。攻撃を機能させ、それはかなり難しいようです。

3
Thomas Pornin