وعده مايكروسافت برای به‌روزرسانی ويندوز

شماره: IRCNE2011091267
تاريخ: 6/7/90

روز گذشته مايكروسافت قول داد كه يك به روز رساني امنيتي براي ويندوز براي بستن يك حفره شناخته شده در پروتكل امن كننده وب سايت­ها عرضه خواهد كرد.
اگر چه اين نقص امنيتي در SSL 3.0 و TLS 1.0 حدود يك دهه است كه شناخته شده است، تنها هفته گذشته يك كد سوء استفاده كننده عملي از اين حفره توسط دو محقق امنيتي عرضه شد. اين كد كه اين محققان آن را BEAST (سوء استفاده از مرورگر عليه SSL/TLS) ناميده اند، يك ابزار هك است كه به مرورگرها حمله كرده و كوكي­ها را رمزگشايي مي­كند و دسترسي به اطلاعات رمزگذاري شده ورود به وب سايت­ها را در اختيار مهاجمان قرار مي­دهد.
مرورگر Opera بر اساس TLS 1.1 كار مي­كند كه در برابر اين حملات آسيب پذير نيست. ولي سايرين يا اين حركت را انجام نداده اند و يا مانند مايكروسافت، پشتيباني TLS 1.1 را به صورت پيش فرض غيرفعال كرده اند.
مايكروسافت در يك راهنمايي امنيتي كه روز دوشنبه عرضه كرد، اظهار داشت كه در حال كار براي ارائه يك به روز رساني براي ويندوز است، ولي اعلام نكرد كه اين به روز رساني چه زماني عرضه خواهد شد. به گفته مايكروسافت، تمامي نسخه هاي ويندوز از XP ده ساله گرفته تا ويندوز 7، در برابر حملات BEAST آسيب پذير هستند. IE بر اساس پياده سازي SSL و TLS ويندوز كار مي­كند و به همين دليل مايكروسافت سيستم عامل خود را اصلاح خواهد كرد و نه مرورگر IE را.
ويندوز 7 و ويندوز Server 2008 R2 پروتكل TLS 1.1 را پشتيباني مي­كنند، ولي اين پروتكل به علت مساله سازگاري به شكل پيش فرض فعال نيست، چرا كه تعداد بسيار كمي از سرورها هستند كه از TLS 1.1 استفاده مي­كنند.
مايكروسافت به كاربران سرور و دسكتاپ توصيه كرده است كه از نسخه هايي از ويندوز استفاده كنند كه TLS 1.1 را پشتيباني مي­كنند، ولي در عين حال در مورد مشكلات احتمالي به آنها هشدار داده است. اين شركت همچنين دو ابزار Fix-it منتشر كرده است كه پروسه فعال كردن TLS 1.1 را به طور خودكار انجام مي­دهند.
برخي مرورگرها مانند Google Chrome، فايرفاكس و Safari در برابر اين حمله آسيب پذير هستند، چرا كه از پروتكل­هاي رمزگذاري امن­تر استفاده نمي­كنند.
البته موزيلا روز سه شنبه اعلام كرد كه اگرچه فايرفاكس مبتني بر TLS 1.0 است، اما اين مرورگر در معرض خطر نيست. به گفته اين شركت، جزئيات فني اين حمله نياز به قابليت كنترل كامل محتواي ارتباطات آغاز شده از مرورگر را دارد كه فايرفاكس اجازه چنين مساله اي را نمي­دهد.