FREAK安全漏洞允許攻擊者對安全套接層(簡稱SSL)與安全傳輸層(簡稱TLS)之間的加密連接實施中間人攻擊,這一利用過期密碼的攻擊手段已經(jīng)被受害方證實有效。而這一次,微軟的Secure Channel堆棧亦未能幸免。
“微軟已經(jīng)意識到其Secure Channel(Schannel)當中存在安全功能規(guī)避漏洞,其能夠影響到全部受支持的微軟Windows版本,”微軟公司在一份安全咨詢資料中指出。“該漏洞源自已經(jīng)得到公開披露的FREAK技術(shù),該問題的影響范圍極為廣泛、并非僅限于微軟Windows操作系統(tǒng)。”
盡管微軟研究部門正是發(fā)現(xiàn)FREAK安全漏洞的歐洲密碼專家團隊的組成部分,但微軟在今天之前一直對這一涉及Windows系統(tǒng)的問題避而不談。
“在這份安全咨詢資料發(fā)布之初,微軟公司并沒有收到足以表明這一問題已經(jīng)被公開用于針對客戶開展攻擊的可靠信息,”微軟方面解釋稱。
微軟同時指出,其正在與微軟Active Protections Program合作伙伴開展主動合作以實現(xiàn)保護,而且一旦相關(guān)調(diào)查工作徹底完成,微軟方面將”采取適當?shù)呐e措以保護客戶安全”。
“具體舉措可能包括通過每月發(fā)布流程提供安全更新或者推送周期之外的安全更新,實際方式取決于客戶的需要,”微軟公司指出。
此次受到影響的Windows版本包括Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows 8與8.1、Windows Server 2012以及Windows RT。
微軟公司表示,用戶能夠通過在組策略對象編輯器內(nèi)修改SSL密碼套件禁用導致FREAK問題的RSA密鑰交換機制—除非用戶所使用的是Windows Server 2003版本,此版本不允許啟用或者禁用個人密碼。
“Windows服務器在默認配置下(禁用導出密碼)不會受到影響,”微軟公司指出。
在本周早些時候有消息指出該存在漏洞的軟件堆棧與蘋果TLS/SSL與OpenSSL密切相關(guān)之后,已經(jīng)有多家企業(yè)陸續(xù)公布了受到該問題影響的系統(tǒng)清單。
截至本文發(fā)稿時,freakattack.com網(wǎng)站上公布的受影響網(wǎng)絡瀏覽器包括IE、Android版本Chrome、Android瀏覽器、Mac OS X以及iOS上的Safari、黑莓瀏覽器以及Mac OS X與Linux平臺上的Opera。
用戶現(xiàn)在已經(jīng)可以利用FREAK客戶端測試工具檢測自己的網(wǎng)絡瀏覽器是否受到影響。
京公網(wǎng)安備 11010502049343號