安全研究人員周四發表SSL協定的重大安全弱點。

SSL (Secure Sockets Layer)是用在網路銀行和確保安全機密與資料庫存取的協定。

手機雙因素認證技術供應商PhoneFactor 研究人員Marsh Ray and Steve Dispensa 8月間發現到這項弱點，預計明年公佈，以便讓受影響的廠商有時間可修補軟體。

但一名獨立安全研究人員發現到這項弱點，並在日前通知IETF。

這項弱點會可使駭客執行中間人攻擊，綁架認證的SSL連線並執行指令。理論上沒有任何一個網頁伺服器或Web瀏覽器會通知管理員連線遭到綁架。「由於這是協定上的弱點，而不只是實作上的瑕疵，所以影響會很廣泛。所有SSL函式庫都會需要修補，而且大部份用戶端和伺服器應用最少都得在產品中加入新版SSL函式庫。大部份用戶最後都需要升級使用到SSL的軟體。」

最近也發現其他SSL弱點。黑帽駭客安全會議上，Intrepidus Group首席顧問Mike Zusman, 和獨立安全研究員Alex Sotirov發現網頁伺服器上的設計瑕疵可讓攻擊者對有延伸驗證(extended validation) SSL授權的網站進行中間人攻擊。

另一個安全研究人員Moxie Marlinspike 則展示另一個SSL瑕疵。