微软表示,执行SSL/TLS的所有Windows版本均易受FREAK加密降级攻击。
这意味着如果你使用的是Windows,那么位于你网络上的攻击者可能会强迫使用Windows Secure Channel组件的IE及其他软件使用弱加密。
截取的HTTPS连接可被轻易破解,暴露诸如登录cookies等敏感信息,但前提是另一端依然支持20世纪90年代的加密(实际上数百万个站点依然支持)。
“微软意识到Secure Channel(Schannel)中存在的安全功能绕过漏洞,它影响所有微软Windows版本,”微软在一份安全公告中指出:
“我们的调查证实,这个漏洞允许攻击者强迫Windows客户端系统SSL/TLS连接所使用的加密套件降级……当这个安全公告刚发布时,微软并未收到任何信息称该问题已被公开用于攻击客户。”
该漏洞(CVE-2015-1637)在本文完成之时并未被窃听者用于主动攻击活动。
于本周发现的FREAK漏洞允许攻击者解密HTTPS连接或易受攻击浏览器中的登录cookies及其他敏感信息。
目前微软正通过微软Active Protections项目推出具体防御机制。它提供的解决方案并不完美,其中包括通过更改Server 2003中的注册表来禁用脆弱的密钥交换密码,但它警告称这会引发“严重问题”。
截至目前,谷歌早于41.0.2272.76版本的OS X Chrome浏览器以及黑莓OS 10.3为易受攻击的目标。用户可通过freakattack.com来查找浏览器的情况。
数以百计的云提供商仍未展开行动。Skyhigh Network报道称766个云服务在FREAK被公开后的第一天依然易受攻击。这一结果是基于对10,000多家不同云服务分析之后得出的。
多数企业使用了122个易受攻击的云服务,这表明流行的云服务因对FREAK修复动作缓慢而受到巨大影响。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。