Microsoft bekräftar att Heartbleed-sårbarheten i OpenSSL inte påverkar Microsoft-kontot och Microsoft Azure

The Heartbleed Bug är en allvarlig sårbarhet i det populära OpenSSL kryptografiska programbiblioteket. Denna svaghet gör det möjligt att stjäla informationen skyddad, under normala förhållanden, av SSL/TLS-krypteringen som används för att säkra Internet. Populära internettjänster som Yahoo Mail, Yahoo Messenger och många andra påverkas av denna bugg. Microsoft bekräftade idag att Microsoft Account och Microsoft Azure, tillsammans med de flesta Microsoft Services, inte påverkades av OpenSSL-sårbarheten.

Heartbleed-sårbarheten i OpenSSL (CVE-2014-0160) har fått stor uppmärksamhet nyligen. Även om det upptäckta problemet är specifikt för OpenSSL, undrar många kunder om detta påverkar Microsofts erbjudanden, särskilt Microsoft Azure. Microsoft Account och Microsoft Azure, tillsammans med de flesta Microsoft-tjänster, påverkades inte av OpenSSL-sårbarheten. Windows implementering av SSL/TLS påverkades inte heller.

Microsoft Azure Web Sites, Microsoft Azure Pack Web Sites och Microsoft Azure Web Rolls använder inte OpenSSL för att avsluta SSL-anslutningar. Windows kommer med en egen krypteringskomponent som heter Säker kanal (alias SChannel), som inte är mottaglig för Heartbleed-sårbarheten.

Men om du använder Microsoft Azures IaaS för att vara värd för linux-avbildningar, bör du se till att din OpenSSL-implementering inte är sårbar.

OpenSSL är ett vanligt bibliotek på Linux för att tillhandahålla krypteringsfunktioner. Kunder som kör Linux-avbildningar i Azure Virtual Machines, eller programvara som använder OpenSSL, kan vara sårbara. Vi rekommenderar att alla kunder som kan vara sårbara följer riktlinjerna från sin leverantör av mjukvarudistribution.

För mer information och vägledning för korrigerande åtgärder, se informationen från US Cert här..