Pull to refresh
0
Digital Security
Безопасность как искусство

Критическая уязвимость в Microsoft SChannel

Reading time 1 min
Views 22K
Пользователи Windows, я думаю, были несколько расстроены, что OpenSSL Heartbleed их практически не затронул. Теперь же и они могут повеселиться, ведь у них есть аналогичная уязвимость!

Вчера Microsoft опубликовала Security Bulletin MS14-066, в котором описывается критический баг в SChannel — реализации SSL/TLS от Microsoft, который позволяет злоумышленнику удаленно выполнять произвольный код. Обновления, закрывающую уязвимость, уже доступны через Windows Update.

Подвержены все версии Windows, начиная с 2003, в том числе и Windows RT. Это позволяет предположить, что уязвимость имеется не только на стороне сервера, но и на стороне клиента.
Версии Windows, подверженные уязвимости:
  • Windows Server 2003 Service Pack 2
  • Windows Vista Service Pack 2
  • Windows Server 2008 Service Pack 2
  • Windows 7 Service Pack 1
  • Windows Server 2008 R2
  • Windows 8
  • Windows 8.1
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows RT
  • Windows RT 8.1

Исходя из информации блога technet, уязвимость была найдена внутри Microsoft в ходе тестирования безопасности продуктов, так что можно полагать, что уязвимость ранее не эксплуатировалась. Блог Cisco нам подсказывает, что этот CVE покрывает сразу несколько багов: от переполнения буфера до обхода валидации сертификатов.

Кроме всего прочего, в обновлении добавлены новые способы шифрования (ciphersuites) с использованием AES-GCM.
Следует обновиться как можно быстрее.
Tags:
Hubs:
+31
Comments 11
Comments Comments 11

Articles

Information

Website
dsec.ru
Registered
Founded
Employees
51–100 employees
Location
Россия