"Доктор Веб" предупреждает об уязвимости в своих продуктах

"Доктор Веб" предупреждает об уязвимости в своих продуктах

В службу технической поддержки "Доктор Веб" поступили запросы пользователей наших продуктов, являющихся одновременно пользователями приложений "банк-клиент", использующих небезопасный протокол SSL v.2. В связи с этим мы выпускаем следующее разъяснение.

На данный момент в связи с многочисленными уязвимостями в SSL v.2 использование данного протокола, а равно и приложений, его использующих, является небезопасным.

В частности, при использовании данного протокола возможны атаки типа "человек посередине" (MITM-атаки) и атаки, позволяющие изменить ход передачи данных. Используемый в SSL v.2 алгоритм хэширования MD5 на данный момент также скомпрометирован и не рекомендуется к использованию.

О небезопасности протокола SSL v.2 известно давно, что еще в 1996 году послужило основанием для его замены версией SSL v.3, в которой впоследствии также была обнаружена уязвимость CVE-2014-3566. Протокол SSL v.2 был официально переведен в разряд устаревших в 2011 году в соответствии с технической спецификацией RFC 6176. В связи с наличием данной спецификации антивирус Dr.Web в момент установления соединения в соответствии с протоколом SSL v.2 информировал своих пользователей об опасности.

Как стало понятно из обращений пользователей Dr.Web в службу технической поддержки, приложения "банк-клиент" некоторых российских банков продолжают использовать небезопасный протокол SSL v.2. Сотрудники служб поддержки клиентов этих банков даже советовали нашим пользователям, испытывавшим проблемы при работе с банковскими приложениями из-за работы Dr.Web, деинсталлировать Dr.Web, подвергая денежные средства своих же клиентов серьёзному риску.

Компания "Доктор Веб" рекомендует пользователям небезопасных приложений обновить их. В случае невозможности обновления пользователи могут разрешить их использование, включая использование небезопасного протокола, в настройках продуктов Dr.Web.

Если вы принимаете решение об использовании системы "банк-клиент", поинтересуйтесь у банка безопасностью используемого в приложении протокола, и в случае использования SSL v.2 или SSL v.3 откажитесь от использования приложения.

Рекомендуемыми протоколами на данный момент являются протоколы TLS v.1 и выше.