Брешь FREAK позволяет обойти SSL/TLS-защиту в Windows
В операционной системе Microsoft Windows находится уязвимость, которая позволяет возможному злоумышленнику обойти защиту протоколов шифрования информации SSL/TLS. Софтовый гигант опубликовал извещение, согласно которому брешь FREAK (Factoring RSA Export Keys) вправду оказывает влияние на безопасность его ОС.
Ранее числилось, что эта уязвимость распространяется лишь на Safari для Mac, также на интегрированный в Android браузер.
«Наше расследование подтвердило, что данная брешь позволяет атакующему вызвать использование более обычного набора шифров в SSL/TLS-соединении на клиентской системе Windows. Уязвимость даёт возможность проэксплуатировать ранее на публике раскрытый способ FREAK, проблема которого распространяется на всю промышленность, а не только лишь на операционные системы Windows», - говорится в извещении Microsoft.
Компания пока не приняла решения о том, как будет реагировать на инцидент. Она ведёт переговоры с участниками Microsoft Active Protections Program, и, по окончании расследования, примет нужные меры. «Они могут включать выпуск патча в рамках планового каждомесячного обновления, или предоставление внеочередного обновления, зависимо от потребностей клиентов», - пояснили представители компании.
Об уязвимости FREAK стало известно несколько недель назад, когда группа исследователей нашла способ ослабления шифрования на веб-ресурсах. Это дает возможность, к примеру, похитить учётные данные пользователя социальной сети, который зашёл в неё через публичную точку доступа Wi-Fi.
Теги: безопасность, уязвимость, патч, шифрование, https