Firefox op dit moment de enige veilige browser

Anders dan eerst gedacht blijken Internet Explorer en Windows wel degelijk behept met de FREAK-bug. De enige browser die er geen last van lijkt te hebben is Firefox.

De FREAK-bug maakt gebruik van een achterdeurtje dat zijn basis heeft in de jaren negentig van de vorige eeuw, toen de regering-Clinton wilde voorkomen dat al te hoogwaardige technologie in handen van tegenstanders van Amerika kwam. Voor exportproducten was destijds alleen relatief zwakke versleuteling met sleutels van maximaal 512 bit toegestaan. Destijds bood dat nog ruim voldoende bescherming, maar anno 2015 is het kraken van 512-bits versleuteling een peulenschil.

De bug schuilt in een combinatie van twee omstandigheden: de ‘versleuteling van exportkwaliteit’ is in veel software is blijven zitten, ook nadat de restricties werden opgeheven, en het blijkt mogelijk websites te dwingen de zwakke vorm van encryptie te gebruiken bij het opzetten van beveiligde verbindingen. Dat geeft hackers de kans om af te luisteren.

Windows blijkt toch kwetsbaar

De Factoring attack on RSA-EXPORT Keys bleek mogelijk op een ongedacht hoog aantal websites. Ruim een derde van de websites is kwetsbaar. Daar zitten ook sites van gerenommeerde uitbaters bij, zoals AmericanExpress.com, Bloomberg.com, NSA.gov en FBI.gov. Aan de client-kant leken in eerste instantie alleen Apples Safari en Googles Chrome kwetsbaar. Maar Microsoft maakte gisteravond bekend dat Windows ook wel degelijk kwetsbaar is voor deze methode om beveiligd verkeer te compromitteren. Inmiddels is door een onafhankelijke onderzoeker bevestigd dat de combinatie Windows – Internet Explorer wel degelijk last heeft van FREAK, ook in de nieuwste versies. Dat impliceert dat van de belangrijkste browsers alleen Firefox er geen last van heeft.

Apple en Google denken volgende week met een patch te komen; alleen voor Chrome op de Mac is er al een patch beschikbaar. Microsoft heeft nog geen toezegging gedaan; wel biedt het in de advisory waar hierboven naar verwezen is een handmatige methode om te voorkomen dat teruggeschakeld wordt naar de kwetsbare sleutel.

Surf met beleid

Wie geen zin heeft in de overstap op een andere browser of wijzigen van de instellingen, doet er goed aan met enig beleid te surfen. Veelgebruikte sites als Google en Facebook lijden in ieder geval niet onder het probleem. Wanneer men twijfelt, is op website freakattack na te kijken of je favoriete website u in problemen kan brengen.

Bron: Automatiseringgids

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content