SA 3009008 для відключення SSL 3.0 в MS IE

Microsoft оновила повідомлення безпеки SA 3009008, випустивши інструмент FixIt для автоматичного блокування налаштування використання протоколу шифрування SSL 3.0 в браузері Internet Explorer. Випуск пов'язаний з виявленою два тижні тому вразливістю CVE-2014-3566 (a.k.a POODLE). Уразливість стосується всіх підтримуваних версій Windows, від застарілої Windows Server 2003 SP2 Windows 8/8 .1 — RT 8.1. Інструмент Fixit можна скачати за цією посилання.



Microsoft is announcing that SSL 3.0 will be disabled in the default configuration of Internet Explorer and across Microsoft online services over the coming months. We recommend customers migrate clients and services to more secure security protocols, such as TLS 1.0, TLS 1.1 or TLS 1.2.
Vulnerability in SSL 3.0 Could Allow Information Disclosure

Згадана вразливість CVE-2014-3566 (Padding Oracle On Downgraded Legacy Encryption) не відноситься до звичайних вразливостей, які конкретно виявляються в продуктах Microsoft. Вона відноситься до типу т. н. «industry-wide vulnerability» і чимось схожа на раніше виявлену дуже небезпечну уразливість Heartbleed. Але у випадку з POODLE ситуація менш критична.

Сама уразливість полягає в тому, що дозволяє зловмисникам втрутитися в процес установки з'єднання по протоколу SSL 3.0 між клієнтом і сервером і, в подальшому, перехопити дані зашифрованого з'єднання, тобто провести атаку типу Man-in-the-Middle. Уразливість не відноситься до цифрових сертифікатів або їх закритих ключів, які зберігаються на сервері, тому їх перевипуск у разі використання цієї версії SSL не потрібно.

Відомості з ручного відключення можливості використання цього протоколу в Windows можна знайти в секції workaround тут.

Докладніше про уразливості можна прочитати в детальному звіт аналітиків Google.


Рис. IE11 на Windows 8.1 x64 з використанням оптимальних налаштувань безпеки. Опція використання протоколу шифрування SSL 3.0 відключена налаштуваннями системного адміністратора. Для відключення також може використовуватися автоматичний інструмент Fixit та інструкції розділу обхідний шлях. Одночасно потрібно включити використання протоколів шифрування TLS 1.0, TLS 1.1, і TLS 1.2.

Microsoft планує найближчим часом відключити опцію використання SSL 3.0 за промовчанням для всіх версій Internet Explorer.


be secure.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.