Microsoft обновила уведомление безопасности SA 3009008, выпустив инструмент FixIt для автоматического блокирования настройки использования протокола шифрования SSL 3.0 в браузере Internet Explorer. Выпуск связан с обнаруженной две недели назад уязвимостью CVE-2014-3566 (a.k.a POODLE). Уязвимость касается всех поддерживаемых версий Windows, от устаревшей Windows 2003 Server SP2 до Windows 8/8.1 — RT 8.1. Инструмент Fixit можно скачать по этой ссылке.
Vulnerability in SSL 3.0 Could Allow Information Disclosure
Упомянутая уязвимость CVE-2014-3566 (Padding Oracle On Downgraded Legacy Encryption) не относится к обычным уязвимостям, которые обнаруживаются конкретно в продуктах Microsoft. Она относится к типу т. н. «industry-wide vulnerability» и чем-то похожа на ранее обнаруженную очень опасную уязвимость Heartbleed. Но в случае с POODLE ситуация менее критичная.
Сама уязвимость заключается в том, что позволяет злоумышленникам вмешаться в процесс установки подключения по протоколу SSL 3.0 между клиентом и сервером и, в дальнейшем, перехватить данные зашифрованного соединения, т. е. провести атаку типа Man-in-the-Middle. Уязвимость не относится к цифровым сертификатам или их закрытым ключам, которые хранятся на сервере, поэтому их перевыпуск в случае использования этой версии SSL не требуется.
Сведения по ручному отключению возможности использования этого протокола в Windows можно найти в секции workaround здесь.
Подробнее о самой уязвимости можно прочитать в детальном отчете аналитиков Google.
Рис. IE11 на Windows 8.1 x64 с использованием оптимальных настроек безопасности. Опция использования протокола шифрования SSL 3.0 отключена настройками системного администратора. Для отключения также может использоваться автоматический инструмент Fixit и инструкции раздела workaround. Одновременно нужно включить использование протоколов шифрования TLS 1.0, TLS 1.1, и TLS 1.2.
Microsoft планирует в ближайшее время отключить опцию использования SSL 3.0 по умолчанию для всех версий Internet Explorer.
be secure.
Microsoft is announcing that SSL 3.0 will be disabled in the default configuration of Internet Explorer and across Microsoft online services over the coming months. We recommend customers migrate clients and services to more secure security protocols, such as TLS 1.0, TLS 1.1 or TLS 1.2.
Vulnerability in SSL 3.0 Could Allow Information Disclosure
Упомянутая уязвимость CVE-2014-3566 (Padding Oracle On Downgraded Legacy Encryption) не относится к обычным уязвимостям, которые обнаруживаются конкретно в продуктах Microsoft. Она относится к типу т. н. «industry-wide vulnerability» и чем-то похожа на ранее обнаруженную очень опасную уязвимость Heartbleed. Но в случае с POODLE ситуация менее критичная.
Сама уязвимость заключается в том, что позволяет злоумышленникам вмешаться в процесс установки подключения по протоколу SSL 3.0 между клиентом и сервером и, в дальнейшем, перехватить данные зашифрованного соединения, т. е. провести атаку типа Man-in-the-Middle. Уязвимость не относится к цифровым сертификатам или их закрытым ключам, которые хранятся на сервере, поэтому их перевыпуск в случае использования этой версии SSL не требуется.
Сведения по ручному отключению возможности использования этого протокола в Windows можно найти в секции workaround здесь.
Подробнее о самой уязвимости можно прочитать в детальном отчете аналитиков Google.
Рис. IE11 на Windows 8.1 x64 с использованием оптимальных настроек безопасности. Опция использования протокола шифрования SSL 3.0 отключена настройками системного администратора. Для отключения также может использоваться автоматический инструмент Fixit и инструкции раздела workaround. Одновременно нужно включить использование протоколов шифрования TLS 1.0, TLS 1.1, и TLS 1.2.
Microsoft планирует в ближайшее время отключить опцию использования SSL 3.0 по умолчанию для всех версий Internet Explorer.
be secure.
