freak安全漏洞允許攻擊者對安全套接層(簡稱ssl)與安全傳輸層(簡稱tls)之間的加密連線實施中間人攻擊,這一利用過期密碼的攻擊手段已經被受害方證實有效。而這一次,微軟的secure channel堆疊亦未能倖免。
「微軟已經意識到其secure channel(schannel)當中存在安全功能規避漏洞,其能夠影響到全部受支援的微軟windows版本,」微軟公司在乙份安全諮詢資料中指出。「該漏洞源自已經得到公開披露的freak技術,該問題的影響範圍極為廣泛、並非僅限於微軟windows作業系統。」
儘管微軟研究部門正是發現freak安全漏洞的歐洲密碼專家團隊的組成部分,但微軟在今天之前一直對這一涉及windows系統的問題避而不談。
「在這份安全諮詢資料發布之初,微軟公司並沒有收到足以表明這一問題已經被公開用於針對客戶開展攻擊的可靠資訊,」微軟方面解釋稱。
微軟同時指出,其正在與微軟active protections program合作夥伴開展主動合作以實現保護,而且一旦相關調查工作徹底完成,微軟方面將」採取適當的舉措以保護客戶安全」。
「具體舉措可能包括通過每月發布流程提供安全更新或者推送週期之外的安全更新,實際方式取決於客戶的需要,」微軟公司指出。
此次受到影響的windows版本包括windows server 2003、windows vista、windows server 2008、windows 7、windows 8與8.1、windows server 2012以及windows rt。
微軟公司表示,使用者能夠通過在組策略物件編輯器內修改ssl密碼套件禁用導致freak問題的rsa金鑰交換機制—除非使用者所使用的是windows server 2003版本,此版本不允許啟用或者禁用個人密碼。
「windows伺服器在預設配置下(禁用匯出密碼)不會受到影響,」微軟公司指出。
在本週早些時候有訊息指出該存在漏洞的軟體堆疊與蘋果tls/ssl與openssl密切相關之後,已經有多家企業陸續公布了受到該問題影響的系統清單。
截至本文發稿時,freakattack.com**上公布的受影響網路瀏覽器包括ie、android版本chrome、android瀏覽器、mac os x以及ios上的safari、黑莓瀏覽器以及mac os x與linux平台上的opera。
使用者現在已經可以利用freak客戶端測試工具檢測自己的網路瀏覽器是否受到影響。
ArcEngine嘗試讀取或寫入受保護的記憶體
先說一下我的開發環境 win10 arcgis10.0 arcengine10.0 framework4.0 今天呼叫新的gp工具則出現 嘗試讀取或寫入受保護的記憶體。這通常指示其他記憶體已損壞 的異常 在此環境下,昨天,我還能夠正常的呼叫gp 對於這一問題,有兩大奇怪之處 一是環境未發生改變,昨天...
ArcEngine嘗試讀取或寫入受保護的記憶體
先說一下我的開發環境 win10 arcgis10.0 arcengine10.0 framework4.0 今天呼叫新的gp工具則出現 嘗試讀取或寫入受保護的記憶體。這通常指示其他記憶體已損壞 的異常 在此環境下,昨天,我還能夠正常的呼叫gp 對於這一問題,有兩大奇怪之處 一是環境未發生改變,昨天...
ArcEngine嘗試讀取或寫入受保護的記憶體
先說一下我的開發環境 win10 arcgis10.0 arcengine10.0 framework4.0 今天呼叫新的gp工具則出現 嘗試讀取或寫入受保護的記憶體。這通常指示其他記憶體已損壞 的異常 在此環境下,昨天,我還能夠正常的呼叫gp 對於這一問題,有兩大奇怪之處 一是環境未發生改變,昨天...