Segurança: falha FREAK também afeta PCs com Windows

10/03/2015 11:06
Microsoft publicou um alerta na última semana alertando usuários sobre a vulnerabilidade.
 

Uma biblioteca criptográfica usada em todas as versões do Windows é afetada por uma vulnerabilidade recém-descoberta em implementações SSL/TLS que permite que invasores man-in-the-middle forcem clientes e servidores usem criptografia fraca. O Internet Explorer e outros programas usando a biblioteca são afetados.

A vulnerabilidade FREAK (Factoring Attack on RSA-EXPORT Keys) tem origem em uma decisão feita nos anos 1990 para limitar a força de chaves de criptografia RSA para 512 bits em implementações SSL (Secure Sockets Layer) com intenção de exportar para atender à regras do governo dos EUA em exportações de sistemas de criptografia.

Esses pacotes de “exportação” não são mais usados hoje em dia, mas uma equipe de pesquisadores descobriu recentemente que muitos servidores ainda suportam eles e alguns clientes SSL/TLS, incluindo navegadores web, podem ser forçados a aceitá-los por causa dos bugs nas bibliotecas criptográficas das quais dependem.

Testes realizados na semana passada, quando a vulnerabilidade foi revelada publicamente, mostram que cerca de 36% de todos os sites habilitados para HTTPS com certificados confiáveis de navegadores eram potencialmente vulneráveis. Os clientes vulneráveis incluem softwares que dependem do OpenSSL ou do Secure Transport, da Apple, como Chrome, Safari, Opera, e os navegadores padrão do Android e do BlackBerry.

Na última quinta, 5/3, a Microsoft publicou um aviso de segurança alertando que o Secure Channel (Schannel), uma biblioteca criptográfica incluída em todas as versões do Windows, também está vulnerável. Isso significa que o IE e programas que dependem do Schannel também são afetados.

O aviso de segurança da Microsoft descreve um “truque” que envolve desabilitar as chaves de troca RSA ao usar o Group Policy Object Editor. No entanto, isso poderia resultar em conexões sendo recusadas por servidores que não suportam nenhum dos pacotes de criptogramas.  

Cientistas de computação da Universidade do Michigan criaram um site em que o usuário pode verificar se o seu navegador é vulnerável. 

 

Fonte:IDGNOW

 

Voltar