Firma Microsoft opublikowała poradnik bezpieczeństwa na temat luki w protokole SSL/TLS.
O problemie pisaliśmy w ubiegłym tygodniu. Dziura w protokole TLS była przez prawie 10 lat rozważana tylko jako problem teoretyczny, powstało jednak narzędzie BEAST (Browser Exploit Against SSL/TLS) udowadniające, że możliwe jest przeprowadzenie ataku w praktyce i rozkodowanie szyfrowanych danych. W swoim poradniku Microsoft jako podatne oprogramowanie podaje Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows Server 2008 R2 i Windows 7. Zapowiada też wydanie poprawki, nie określając jednak, czy pojawi się ona w ramach standardowego comiesięcznego cyklu, czy też poza nim.
Microsoft zaznacza jednak, że choć przeprowadzenie ataku jest możliwe, to musi być spełnionych wiele warunków. Ogólnie więc zagrożenie nie jest duże. Jednym z warunków udanego ataku jest przechwycenie sesji TLS na zasadzie man-in-the-middle, samo podsłuchiwanie ruchu nie jest wystarczające. Konieczne jest też, aby oprogramowanie dekodujące działało w obrębie przeglądarki ofiary. Ponadto musi ono być traktowane jako pochodzące z serwera HTTPS, z którym sesja została przechwycona. Oznacza to, że trzeba obejść zabezpieczenia sprawdzające pochodzenie skryptu (same origin policy).
Poprawka, która zostanie wydana przez Microsoft pozwoli zabezpieczyć aplikacje korzystające z systemowych bibliotek kryptograficznych. Programy korzystające z innych bibliotek będą musiały być łatane oddzielnie.
