Microsoft Mengkonfirmasi Bahwa Kerentanan Heartbleed di OpenSSL Tidak Mempengaruhi Akun Microsoft dan Microsoft Azure

Bug Heartbleed adalah kerentanan serius di perpustakaan perangkat lunak kriptografi OpenSSL yang populer. Kelemahan ini memungkinkan pencurian informasi yang dilindungi, dalam kondisi normal, oleh enkripsi SSL/TLS yang digunakan untuk mengamankan Internet. Layanan internet populer seperti Yahoo Mail, Yahoo Messenger dan banyak lainnya terpengaruh oleh bug ini. Microsoft hari ini mengkonfirmasi bahwa Akun Microsoft dan Microsoft Azure, bersama dengan sebagian besar Layanan Microsoft, tidak terpengaruh oleh kerentanan OpenSSL.

Kerentanan Heartbleed di OpenSSL (CVE-2014-0160) telah menerima banyak perhatian baru-baru ini. Sementara masalah yang ditemukan khusus untuk OpenSSL, banyak pelanggan bertanya-tanya apakah ini mempengaruhi penawaran Microsoft, khususnya Microsoft Azure. Akun Microsoft dan Microsoft Azure, bersama dengan sebagian besar Layanan Microsoft, tidak terpengaruh oleh kerentanan OpenSSL. Implementasi SSL/TLS Windows juga tidak terpengaruh.

Situs Web Microsoft Azure, Situs Web Paket Microsoft Azure, dan Peran Web Microsoft Azure tidak menggunakan OpenSSL untuk mengakhiri koneksi SSL. Windows hadir dengan komponen enkripsinya sendiri yang disebut Saluran Aman (alias SChannel), yang tidak rentan terhadap kerentanan Heartbleed.

Namun, jika Anda menggunakan IaaS Microsoft Azure untuk meng-host gambar linux, maka Anda harus memastikan bahwa implementasi OpenSSL Anda tidak rentan.

OpenSSL adalah perpustakaan umum di Linux untuk menyediakan fungsionalitas enkripsi. Pelanggan yang menjalankan image Linux di Azure Virtual Machines, atau perangkat lunak yang menggunakan OpenSSL, mungkin rentan. Kami menyarankan agar semua pelanggan yang mungkin rentan mengikuti panduan dari penyedia distribusi perangkat lunak mereka.

Untuk informasi lebih lanjut dan panduan tindakan korektif, silakan lihat informasi dari US Cert di sini.