日前 Unwire Pro 曾報導威脅 SSL 安全的 「怪胎」FREAK 漏洞的影響原只涉及 Android、iOS 及 OSX,但 Microsoft 日前調查後發表報告,證實所有 Windows 版本均受 FREAK 波及,並建議使用者於 Microsoft 推出修補程式前暫時關閉 RSA 的出口金鑰功能。
Microsoft:FREAK 為 IT 界全體問題
Microsoft 日前於一份通告中證實 Windows 亦受到 FREAK(Factoring RSA Export Keys)的影響;經調查發現,此漏洞將繞過 Windows 的「Secure Channel」安全機制,故此駭客能夠成功透過此漏洞對 Windows 系統發動中間人攻擊,影響範疇涵蓋 Windows Vista / 7 / 8 / 8.1 / RT 及 Windows Server 2003 / 2008 等多的版本,基本上現在常見的 Windows 版本均受波及。
Windows 未來將以緊急修補或每月例行性更新的通路推出修補程式,並建議使用者在收到修補程式前暫時關閉 RSA 的出口金鑰功能。
Microsoft 在報告中亦強調,此漏洞非 Windows 專屬,為 IT 業界整體均需要嚴肅看待的問題。
OpenSSL 於去年 10 月已完成 FREAK 的修補工作,而 Red Hat 則於今年 1 月更新旗下採用 OpenSSL 的 Red Hat Enterprise Linux 6 / 7。Apple 與 Google 亦正進行修補工作。萬幸的是,現在尚未傳出任何透過 FREAK 作出的實際攻擊案例,但由於影響範圍越見廣泛,故其威脅等級已由低升至中。
(本文由 Unwire Pro 授權轉載)
科技新報粉絲團
加入好友
訂閱免費電子報
