Microsoft opraví deset let starou SSL zranitelnost

Společnost se konečně odhodlala vydat opravnou aktualizaci pro chybu v protokolu, který zabezpečuje webové stránky. Objevil se totiž funkční exploit.

Microsoft opraví deset let starou SSL zranitelnost


Ačkoliv se o zranitelnosti ve webových protokolech SSL (secure socket layer) 3.0 a TLS (transport layer security) 1.0 ví asi už deset let, nikdo se její existencí příliš nezabýval, protože se nevědělo o jediném případu jejího zneužití. V minulém týdnu se však dvojice výzkumníků pochlubila vytvořením funkčního exploitu nazvaného BEAST (Browser Exploit Against SSL/TLS), který dokáže dešifrovat cookies. Díky tomu by potencionální útočníci mohli přistupovat k zabezpečeným webovým stránkám jako oprávnění uživatelé.

V ohrožení jsou všechny prohlížeče s výjimkou Opery, která se spoléhá TLS 1.1. Výrobci ostatních prohlížečů buď neprovedli aktualizaci, nebo podporu TLS 1.1 dokonce zakázali ve výchozím nastavení browseru, což je také případ Microsoftu.

V pondělním bezpečnostním zpravodaji Microsoft uvádí, že pracuje na updatu pro Windows. Neuvedl však, zda půjde o patch nebo jen modifikaci nastavení. „Microsoft v současné době pracuje na bezpečnostním updatu pro Windows určeného pro odstranění této chyby,“ píše se ve zprávě. „K vydání updatu dojde hned, jakmile bude dosaženo úrovně vhodné pro distribuci.“ Zranitelné jsou podle Microsoftu všechny verze operačního systému Windows, tedy včetně deset let starých Windows XP.

Podle oslovených analytiků si dá Microsoft s uvolněním opravy asi načas. Například Andrew Storms z nCircle Security nevěří, že by tak mohl učinit formou nouzové opravy, tzv. out-of-band. Dokud totiž podle něj nejsme svědky velkého množství útoků zneužívajících danou chybu, není na Microsoft vyvíjen žádný tlak a nemá proto důvod jakkoliv spěchat.

Úvodní foto: © Cybrain - Fotolia.com










Komentáře