Microsoft heeft bevestigd dat alle Windows-pc's het risico lopen door een HTTPS-uitbuiting bekend als FREAK die al een reeks Android- en Apple-apparaten heeft getroffen.

De bug werd oorspronkelijk op maandag onthuld en men dacht dat PC's met Windows niet werden beïnvloed door de exploit die al meer dan 10 jaar bestaat en dat aanvallers gemakkelijk verkeer via een HTTPS-verbinding tussen eindgebruikers en websites kunnen decoderen..

Aanvallen kunnen worden uitgevoerd wanneer een eindgebruiker op een kwetsbaar apparaat verbinding maakt met een met HTTPS beveiligde site die ook kwetsbaar is, en die sites die het risico lopen degenen zijn die het zwakke cijfer gebruiken waarvan men dacht dat ze lang met pensioen waren.

FREAK, wat staat voor een factoringaanval op RSA-EXPORT-sleutels, stelt degenen die het verkeer controleren in staat om kwaadaardige pakketten in de verkeersstroom te introduceren die de eindgebruiker en de site dwingen om een ​​zwakkere 512-bits coderingssleutel te gebruiken in een gecodeerde websessie.

Aanvallers kunnen informatie die via deze uitwisseling wordt verzonden verzamelen door de cloud te gebruiken als factor voor de onderliggende privésleutel van de website. Dit proces kost slechts $ 100 (ongeveer £ 66, of AU $ 130) en het kost ongeveer zeven uur om te voltooien. Zodra dat heeft plaatsgevonden, kan de aanvaller optreden als de officiële HTTPS-beveiligde site om mogelijk gegevens te lezen of te wijzigen die reizen tussen de site en eindgebruikers..

Geen Windows-patch

De omvang van het probleem werd blootgelegd door een rapport van beveiligingsonderzoekers op FREAKattack.com waarin werd vastgesteld dat 36% van de 14 miljoen HTTPS-beveiligde sites die werden onderzocht het zwakke cijfer gebruikten.

Apple en Google hebben al updates uitgegeven die het probleem omzeilen en hoewel Microsoft nog geen patch heeft ontwikkeld om het probleem dat alle consumentenversies van Windows beïnvloedt te omzeilen, adviseert het gebruikers een oplossing toe te passen die hier wordt beschreven.

Via: Ars Technica

  • Waarom u gegevens in de cloud moet coderen