Nästan 100 000 HTTPS-webbplatser hotas av en ny sårbarhet som föddes ur försök från USA i början av 1990-talet för att bryta krypteringen som används av utländska enheter.

Först rapporterad av Ars Technica påverkar logjams sårbarhet 8,4% av världens översta miljon webbplatser utöver en något högre andel av postservrarna i IPv4-adressutrymmet, enligt forskare.

"Logjam visar oss en gång till varför det är en fruktansvärd idé att avsiktligt försvaga kryptografi, som FBI och en del i brottsbekämpningen nu efterlyser," berättade Ars Technica i ett email, J. Alex Halderman, som var forskare bakom forskningen. "Det var precis vad USA gjorde på 1990-talet med krypto exportrestriktioner, och idag är bakdörren öppen och hotar säkerheten för en stor del av webben."

Utnyttjandet kan eavesdroppers visa data som passerar över krypterade anslutningar och sedan modifiera den för att framgångsrikt utföra man-i-mitten attacker. Det är födt ur ett fel i protokollet för transportskyddsskydd (TLS) som tillåter webbplatser och postservrar att ställa in krypterade anslutningar med slutanvändare, och Diffie-Hellman-nyckelutbytet är där svagheten ligger.

Attackers använder Logjam för att dra nytta av en delmängd av servrar som stöder Diffie-Hellman, vilket tillåter två parter som aldrig har träffat att skapa en specialnyckel även om de kommunicerar via en osäker anslutning.

För att dra nytta av sårbara anslutningar måste angriparna använda siffralsigalgoritmen för att förhandsberäkna data. Efter att ha gjort det kan de framgångsrikt utföra man-i-mitten attacker mot samma sårbara anslutning.

Håll din webbläsare uppdaterad

Endast Internet Explorer har uppdaterats för att skydda mot exploateringen, även om forskarna har varit i kontakt med utvecklarna av Chrome, Firefox och Safari för att säkerställa att en korrigering kommer att genomföras som avvisar krypterade anslutningar under minst 1024 bitar.

Forskare rekommenderar serveradministratörer att stänga av stöd för DHE_EXPORT ciphersuites som gör att Diffie-Hellman-anslutningarna kan nedgraderas och de har även lämnat en guide om hur man gör det säkert. För slutanvändare, se till att din webbläsare eller e-postklient hålls helt uppdaterad med den allra senaste versionen.

  • Kolla här: Bästa gratis antivirusprogram 2015