Microsoft bevestigt dat Heartbleed-kwetsbaarheid in OpenSSL geen invloed heeft op Microsoft-account en Microsoft Azure

De Heartbleed Bug is een ernstige kwetsbaarheid in de populaire OpenSSL cryptografische softwarebibliotheek. Door deze zwakte kan de informatie worden gestolen die onder normale omstandigheden wordt beschermd door de SSL/TLS-codering die wordt gebruikt om internet te beveiligen. Populaire internetdiensten zoals Yahoo Mail, Yahoo Messenger en vele andere hebben last van deze bug. Microsoft heeft vandaag bevestigd dat Microsoft Account en Microsoft Azure, samen met de meeste Microsoft Services, niet zijn getroffen door de OpenSSL-kwetsbaarheid.

De Heartbleed-kwetsbaarheid in OpenSSL (CVE-2014-0160) heeft de laatste tijd veel aandacht gekregen. Hoewel het ontdekte probleem specifiek is voor OpenSSL, vragen veel klanten zich af of dit van invloed is op het aanbod van Microsoft, met name Microsoft Azure. Microsoft Account en Microsoft Azure werden, samen met de meeste Microsoft Services, niet getroffen door de OpenSSL-kwetsbaarheid. De implementatie van SSL/TLS door Windows werd ook niet beïnvloed.

Microsoft Azure-websites, Microsoft Azure Pack-websites en Microsoft Azure-webrollen maken geen gebruik van OpenSSL om SSL-verbindingen te beëindigen. Windows wordt geleverd met een eigen coderingscomponent genaamd Beveiligd kanaal (ook bekend als SChannel), die niet vatbaar is voor de Heartbleed-kwetsbaarheid.

Als u echter IaaS van Microsoft Azure gebruikt om linux-images te hosten, moet u ervoor zorgen dat uw OpenSSL-implementatie niet kwetsbaar is.

OpenSSL is een algemene bibliotheek op Linux voor het leveren van coderingsfunctionaliteit. Klanten die Linux-installatiekopieën uitvoeren in Azure Virtual Machines of software die OpenSSL gebruikt, kunnen kwetsbaar zijn. We raden alle klanten die mogelijk kwetsbaar zijn aan de richtlijnen van hun softwaredistributieprovider te volgen.

Raadpleeg de informatie van US Cert . voor meer informatie en richtlijnen voor corrigerende maatregelen hier.