- PVSM.RU - https://www.pvsm.ru -

SA 3009008 для отключения SSL 3.0 в MS IE

Microsoft обновила уведомление безопасности SA 3009008 [1], выпустив инструмент FixIt для автоматического блокирования настройки использования протокола шифрования SSL 3.0 в браузере Internet Explorer. Выпуск связан с обнаруженной две недели назад уязвимостью CVE-2014-3566 (a.k.a POODLE). Уязвимость касается всех поддерживаемых версий Windows, от устаревшей Windows 2003 Server SP2 до Windows 8/8.1 — RT 8.1. Инструмент Fixit можно скачать по этой ссылке [2].

SA 3009008 для отключения SSL 3.0 в MS IE

Microsoft is announcing that SSL 3.0 will be disabled in the default configuration of Internet Explorer and across Microsoft online services over the coming months. We recommend customers migrate clients and services to more secure security protocols, such as TLS 1.0, TLS 1.1 or TLS 1.2.

Vulnerability in SSL 3.0 Could Allow Information Disclosure [3]

Упомянутая уязвимость CVE-2014-3566 (Padding Oracle On Downgraded Legacy Encryption) не относится к обычным уязвимостям, которые обнаруживаются конкретно в продуктах Microsoft. Она относится к типу т. н. «industry-wide vulnerability» и чем-то похожа на ранее обнаруженную очень опасную уязвимость Heartbleed [4]. Но в случае с POODLE ситуация менее критичная.

Сама уязвимость заключается в том, что позволяет злоумышленникам вмешаться в процесс установки подключения по протоколу SSL 3.0 между клиентом и сервером и, в дальнейшем, перехватить данные зашифрованного соединения, т. е. провести атаку типа Man-in-the-Middle. Уязвимость не относится к цифровым сертификатам или их закрытым ключам, которые хранятся на сервере, поэтому их перевыпуск в случае использования этой версии SSL не требуется.

Сведения по ручному отключению возможности использования этого протокола в Windows можно найти в секции workaround здесь [3].

Подробнее о самой уязвимости можно прочитать в детальном отчете [5] аналитиков Google.

SA 3009008 для отключения SSL 3.0 в MS IE
Рис. IE11 на Windows 8.1 x64 с использованием оптимальных настроек безопасности. Опция использования протокола шифрования SSL 3.0 отключена настройками системного администратора. Для отключения также может использоваться автоматический инструмент Fixit и инструкции раздела workaround. Одновременно нужно включить использование протоколов шифрования TLS 1.0, TLS 1.1, и TLS 1.2.

Microsoft планирует в ближайшее время отключить опцию использования SSL 3.0 по умолчанию для всех версий Internet Explorer.

SA 3009008 для отключения SSL 3.0 в MS IE
be secure.

Автор: esetnod32

Источник [6]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/internet-explorer-2/73170

Ссылки в тексте:

[1] SA 3009008: http://blogs.technet.com/b/msrc/archive/2014/10/29/security-advisory-3009008-released.aspx

[2] ссылке: http://go.microsoft.com/?linkid=9863266

[3] Vulnerability in SSL 3.0 Could Allow Information Disclosure: https://technet.microsoft.com/en-us/library/security/3009008.aspx

[4] Heartbleed: http://habrahabr.ru/company/eset/blog/218907/

[5] отчете: https://www.openssl.org/~bodo/ssl-poodle.pdf

[6] Источник: http://habrahabr.ru/post/241979/