Dziura FREAK również w Windows
Microsoft ostrzega, że wszystkie wspierane obecnie wersje systemu operacyjnego Windows zawierają lukę FREAK w protokole SSL/TLS. Początkowo sądzono, że dziura występuje tylko w systemach Android oraz iOS.
Napastnik, wykorzystując lukę FREAK, może nakłonić serwer do używania 512-bitowych kluczy SSL/TLS, co ułatwia zaatakowanie maszyny metodą brute-force.
Microsoft radzi, by do czasu opublikowania poprawki użytkownicy skorzystali z mechanizmu Group Policy Editor i wyłączyli możliwość wymiany eksportu kluczy RSA. Dzięki temu ewentualny napastnik nie będzie miał możliwości nakłonienia maszyny do korzystania z krótszych kluczy.
Komentarze (2)
wilk, 10 marca 2015, 21:49
Tu chodzi o typowy, gospodarczy, eksport. A konkretnie o dawną politykę eksportową USA w stosunku do technologii kryptograficznych, ograniczającą wywożenie silnych rozwiązań poza granicę. Luka wynika z tego, że mimo iż polityka ta już nie obowiązuje, to została zachowana w openssl jako wsteczna kompatybilność.
Jajcenty, 11 marca 2015, 07:00
No i całość nabrała sensu. "Możliwość wymiany eksportu" jakoś niewiele mi mówiła choć brzmi imponująco