شماره: IRCNE2014052192
تاريخ:27/02/93
روز سه شنبه شركت مايكروسافت چندين به روز رساني امنيتي اختياري را براي چندين نسخه از چارچوب كاري .NET منتشر كرده است. نسخه هاي به روز رساني شده مانع استفاده از الگوريتم رمزگذاري RC4 در ارتباطات TLS مي شود.
اين به روز رساني ها تنها از طريق Windows Update Catalog و Microsoft Download Center در دسترس مي باشند و از طريق سيستم به روز رساني ويندوز اعمال نمي شوند.
RC4 در سال 1987 توسط Ronald Rivest اختراع شد و با وجود ضعف هايي در پياده سازي آن، در طول ساليان به عنوان يكي از محبوب ترين الگوريتم هاي رمزگذاري مورد استفاده قرار گرفته است.
تا سال گذشته، استفاده از RC4 در ارتباطات TLS به عنوان يك روش امن به حساب مي آمد. با اين حال، در مارس سال 2013 گروهي از محققان حملاتي را كه مي تواند عليه رمزگذاري RC4 در TLS مورد استفاده قرار گيرد، شناسايي كردند.
در ماه نوامبر شركت مايكروسافت يك به روز رساني براي ويندوز 7، ويندوز 8، ويندوز RT، ويندوز سرور 2008 R2 و ويندوز سرور 2012 منتشر كرد كه به ادمين ها اجازه مي داد تا با استفاده از تنظيمات رجيستري پشتيباني از RC4 را غيرفعال نمايند. به روز رساني اختياري كه روز سه شنبه منتشر شده است نيز همين كار را براي چارچوب كاري .NET انجام مي دهد.
شركت مايكروسافت در راهنمايي امنيتي روز سه شنبه خود آورده است كه استفاده از RC4 در TLS مي تواند به مهاجمي اجازه دهد تا حملات man-in-the-middle را انجام دهد و متن هاي ساده را از نشست هاي رمزگذاري شده استخراج نمايد.
در حالي كه مسدود نمودن RC4 پيشنهاد مي شود، شركت مايكروسافت اعلام كرد كه مشتريان بايد برنامه اي براي تست تنظيمات جديد قبل از اعمال آن در محيط شبكه داشته باشند.
در آزمايشي كه در ماه نوامبر توسط شركت مايكروسافت انجام گرفت مشخص شد كه 43 درصد از وب سايت هاي HTTPS رمزگذاري RC4 را در پيكربندي خود اولويت بندي كرده اند اما تنها 4 درصد از آن ها استفاده از اين روش را يك الزام در نظر گرفته اند. اين بدان معني است كه مرورگرها و ساير برنامه هاي كاربردي كه به عنوان يك كلاينت RC4 عمل مي كنند مي توانند هنگام مذاكره براي ارتباطات TLS، يك روش رمزگذاري متفاوت را انتخاب نمايند.
- 4