英文原文:Microsoft Security Advisory 3046015
日前 Unwire Pro 曾报导威胁 SSL 安全的 “怪胎”FREAK 漏洞的影响原只涉及 Android、iOS 及 OSX,但 Microsoft 日前调查后发布报告,证实所有 Windows 版本均受 FREAK 波及,并建议使用者于 Microsoft 推出修补程序前暂时关闭 RSA 的出口金钥功能。
Microsoft:FREAK 为 IT 界全体问题
Microsoft 日前于一份通告中证实 Windows 亦受到 FREAK(Factoring RSA Export Keys)的影响;经调查发现,此漏洞将绕过 Windows 的“Secure Channel”安全机制,故此骇客能够成功透过此漏洞对 Windows 系统发动中间人攻击,影响范畴涵盖 Windows Vista / 7 / 8 / 8.1 / RT 及 Windows Server 2003 / 2008 等多的版本,基本上现在常见的 Windows 版本均受波及。
Windows 未来将以紧急修补或每月例行性更新的渠道推出修补程序,并建议使用者在收到修补程序前暂时关闭 RSA 的出口金钥功能。
Microsoft 在报告中亦强调,此漏洞非 Windows 专属,为 IT 业界整体均需要严肃看待的问题。
OpenSSL 于去年 10 月已完成 FREAK 的修补工作,而 Red Hat 则于今年 1 月更新旗下采用 OpenSSL 的 Red Hat Enterprise Linux 6 / 7。Apple 与 Google 亦正进行修补工作。万幸的是,现在尚未传出任何透过 FREAK 作出的实际攻击案例,但由于影响范围越见广泛,故其威胁等级已由低升至中。