Брешь FREAK позволяет обойти SSL/TLS-защиту в Windows
10 марта 2015 года
В операционной системе Microsoft Windows присутствует уязвимость, которая позволяет потенциальному злоумышленнику обойти защиту протоколов шифрования информации SSL/TLS. Софтверный гигант опубликовал уведомление, согласно которому брешь FREAK (Factoring RSA Export Keys) действительно влияет на безопасность его ОС.
Ранее считалось, что эта уязвимость распространяется только на Safari для Mac, а также на встроенный в Android браузер.
«Наше расследование подтвердило, что данная брешь позволяет атакующему вызвать использование более простого набора шифров в SSL/TLS-соединении на клиентской системе Windows. Уязвимость даёт возможность проэксплуатировать ранее публично раскрытый метод FREAK, проблема которого распространяется на всю индустрию, а не только на операционные системы Windows», — говорится в уведомлении Microsoft.
Корпорация пока не приняла решения о том, как будет реагировать на инцидент. Она ведёт переговоры с участниками Microsoft Active Protections Program, и, по завершении расследования, примет необходимые меры. «Они могут включать выпуск патча в рамках планового ежемесячного обновления, либо предоставление внеочередного обновления, в зависимости от потребностей клиентов», — пояснили представители компании.
Об уязвимости FREAK стало известно несколько недель назад, когда группа исследователей обнаружила метод ослабления шифрования на веб-ресурсах. Это позволяет, например, похитить учётные данные пользователя социальной сети, который зашёл в неё через публичную точку доступа Wi-Fi.
Материалы предоставлены: http://www.3dnews.ru/910535/?feed