Microsoft xác nhận rằng lỗ hổng bảo mật trong OpenSSL không ảnh hưởng đến tài khoản Microsoft và Microsoft Azure

Lỗi Heartbleed là một lỗ hổng nghiêm trọng trong thư viện phần mềm mật mã OpenSSL phổ biến. Điểm yếu này cho phép đánh cắp thông tin được bảo vệ, trong điều kiện bình thường, bằng mã hóa SSL / TLS được sử dụng để bảo mật Internet. Các dịch vụ internet phổ biến như Yahoo Mail, Yahoo Messenger và nhiều dịch vụ khác bị ảnh hưởng bởi lỗi này. Microsoft hôm nay xác nhận rằng Tài khoản Microsoft và Microsoft Azure, cùng với hầu hết các Dịch vụ của Microsoft, không bị ảnh hưởng bởi lỗ hổng OpenSSL.

Lỗ hổng Heartbleed trong OpenSSL (CVE-2014-0160) đã nhận được một lượng quan tâm đáng kể trong thời gian gần đây. Mặc dù vấn đề được phát hiện là cụ thể đối với OpenSSL, nhưng nhiều khách hàng đang tự hỏi liệu điều này có ảnh hưởng đến các dịch vụ của Microsoft, cụ thể là Microsoft Azure hay không. Tài khoản Microsoft và Microsoft Azure, cùng với hầu hết các Dịch vụ của Microsoft, không bị ảnh hưởng bởi lỗ hổng OpenSSL. Việc triển khai SSL / TLS của Windows cũng không bị ảnh hưởng.

Microsoft Azure Web Sites, Microsoft Azure Pack Web Sites và Microsoft Azure Web Roles không sử dụng OpenSSL để chấm dứt kết nối SSL. Windows đi kèm với thành phần mã hóa riêng của nó được gọi là Kênh an toàn (hay còn gọi là SChannel), không dễ bị tổn thương bởi lỗ hổng Heartbleed.

Tuy nhiên, nếu bạn đang sử dụng Microsoft Azure's IaaS để lưu trữ hình ảnh linux, thì bạn nên đảm bảo rằng việc triển khai OpenSSL của bạn không bị tấn công.

OpenSSL là một thư viện phổ biến trên Linux để cung cấp chức năng mã hóa. Khách hàng đang chạy hình ảnh Linux trong Azure Virtual Machines hoặc phần mềm sử dụng OpenSSL, có thể dễ bị tấn công. Chúng tôi khuyến nghị tất cả các khách hàng có thể dễ bị tấn công nên tuân theo hướng dẫn từ nhà cung cấp phân phối phần mềm của họ.

Để biết thêm thông tin và hướng dẫn hành động khắc phục, vui lòng xem thông tin từ US Cert tại đây.