Redazione RHC : 2 Maggio 2024 15:20
Alcuni utenti di Google Chrome hanno segnalato problemi di connessione a siti, server e firewall da quando Chrome è stato rilasciato la scorsa settimana. La nuova versione del browser presenta il nuovo motore di incapsulamento resistente ai quanti X25519Kyber768 abilitato per impostazione predefinita.
Google ha iniziato a testare un nuovo meccanismo di incapsulamento della chiave TLS resistente ai quanti lo scorso agosto e nell’ultima versione di Chrome lo ha abilitato per tutti gli utenti del browser. La nuova versione di Chrome utilizza l’algoritmo di accordo chiave Kyber768 per le connessioni TLS 1.3 e QUIC per proteggere il traffico TLS di Chrome da futuri attacchi post-quantici.
“Dopo diversi mesi di esperimenti di compatibilità e prestazioni, stiamo lanciando lo scambio di chiavi TLS ibrido post-quantistico per desktop in Chrome 124”, ha scritto il team di sicurezza di Chrome. “Ciò proteggerà il traffico degli utenti dagli attacchi chiamati – archivia ora, e decritta in seguito – in cui un futuro computer quantistico sarà in grado di decrittografare il traffico crittografato registrato oggi.”
Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AIVuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Gli attacchi “Store now, decrypt later” coinvolgono gli aggressori che raccolgono dati crittografati e li archiviano per un uso futuro, fino a quando non saranno disponibili nuovi metodi di decrittografia come i computer quantistici (o le chiavi di crittografia).
Per proteggersi da tali attacchi futuri, le aziende (tra cui Apple, Signal e Google) hanno già iniziato ad aggiungere la crittografia resistente ai quanti al proprio stack per impedire l’utilizzo di tali tattiche.
Tuttavia, dal rilascio di Google Chrome 124 e Microsoft Edge 124, alcune applicazioni Web, firewall e server interrompono le connessioni dopo l’handshake TLS. Il problema riguarda anche hardware di sicurezza, firewall, middleware di rete e altri dispositivi di rete di vari fornitori (ad esempio Fortinet, SonicWall, Palo Alto Networks, AWS).
“Sembra che questo rompa l’handshake TLS per i server che non sanno cosa fare con i dati extra nel messaggio di saluto del client”, afferma un amministratore interessato. “Stesso problema dalla versione 124 Edge, qualcosa sembra andare storto con la decrittografia SSL sul mio PaloAlto”, ha scritto un altro amministratore.
Sembra che questi errori non siano dovuti a un bug di Chrome, ma al fatto che i server web non possono implementare correttamente TLS e non sono in grado di elaborare l’aumento dei messaggi richiesti per la protezione quantistica. Finiscono per rifiutare le connessioni utilizzando l’algoritmo Kyber768 resistente ai quanti invece di passare alla crittografia classica se X25519Kyber768 non è supportato.
Gli amministratori dei siti sono incoraggiati a testare i propri server attivando manualmente la nuova funzionalità in Google Chrome 124 utilizzando il flag chrome://flags/#enable-tls13-kyber. Una volta abilitata la funzione, gli amministratori possono connettersi ai propri server e verificare se ciò sta attivando un errore “ERR_CONNECTION_RESET”.
Gli amministratori possono anche disabilitare questa funzionalità utilizzando la policy PostQuantumKeyAgreementEnabled o contattando i fornitori per ottenere aggiornamenti per l’hardware che non è pronto per il post-quantum. Microsoft ha già pubblicato istruzioni dettagliate su come gestire questa funzionalità utilizzando i criteri di gruppo Edge.
Tuttavia, i giornalisti notano che a lungo termine sarà necessaria una protezione post-quantistica per TLS e che la politica aziendale di Chrome per disabilitare questa funzionalità verrà rimossa in futuro.
RedazioneCisco ha reso note due vulnerabilità critiche che interessano i propri firewall Secure Firewall Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD), oltre ad altri prodotti di re...
Il ricercatore Nicholas Zubrisky di Trend Research ha segnalato una vulnerabilità critica nel componente ksmbd del kernel Linux che consente ad aggressori remoti di eseguire codice arbitrario con i m...
Il Dipartimento di Giustizia degli Stati Uniti e la polizia britannica hanno incriminato Talha Jubair, 19 anni, residente nell’East London, che gli investigatori ritengono essere un membro chiave di...
Una vulnerabilità zero-day, monitorata con il CVE-2025-20352, è stata resa pubblica da Cisco nei suoi diffusissimi software IOS e IOS XE; tale vulnerabilità risulta essere sfruttata attivamente. L�...
Gli sviluppatori di Kali Linux hanno rilasciato una nuova release, la 2025.3, che amplia le funzionalità della distribuzione e aggiunge dieci nuovi strumenti di penetration testing. L’aggiornamento...
