微软确认 FREAK 安全漏洞也会影响 Windows

微软昨天发布了安全公告 3046015，确认 Schannel 中的漏洞（FREAK 安全漏洞）可能允许绕过 Windows 中的安全功能。 该漏洞可能允许中间人 (MiTM) 攻击者强制将 Windows 客户端系统上 SSL/TLS 连接中使用的密码降级为较弱的单个密码，这些密码被禁用但属于密码套件的一部分启用。

问题摘要：

Microsoft 发现安全通道 (Secure Channel) 中存在安全功能绕过漏洞 (频道) 影响所有受支持的 Microsoft Windows 版本。 我们的调查已经证实，该漏洞可能允许攻击者强制降级在 SSL/TLS Windows 客户端系统上的连接。 该漏洞有助于利用公开披露的 FREAK 技术，这是一个行业范围的问题，并非特定于 Windows 操作系统。 最初发布此安全公告时，Microsoft 尚未收到任何信息表明此问题已被公开用于攻击客户。

我们正在积极与合作伙伴合作 Microsoft主动保护计划 (MAPP) 提供可用于为客户提供更广泛保护的信息。

完成此调查后，Microsoft 将采取适当的措施来帮助保护客户。 这可能包括通过我们的每月发布流程提供安全更新或提供非周期安全更新，具体取决于客户需求。

常见问题解答：

攻击者如何利用该漏洞？
在中间人攻击中，攻击者可以降级加密的 SSL/TLS 会话并强制客户端系统使用较弱的 RSA 导出密码。 然后，攻击者可以拦截并解密此流量。

攻击者可能会利用此漏洞做什么？
成功利用此漏洞的攻击者可以促进可以解密加密流量的中间人攻击。

是什么导致了漏洞？
该漏洞是由 Schannel 中的 TLS 状态机中的问题引起的。

Microsoft 提供了一种解决方法，您可以通过在组策略对象编辑器中修改 SSL 密码套件顺序来禁用 Windows Vista 和更高版本系统中的 RSA 密钥交换密码。

访问这个 网站 检查您的浏览器和操作系统是否受到影响。 阅读更多关于它的信息 此处.