Újabb hiba a Windows-okban

A redmondi szoftverfejlesztő által közzétett értesítés szerint a Transport Layer Security (TLS) és a Secure Sockets Layer (SSL) protokollok bizonyultak hibásnak. Egyelőre nem észleltek erre a sebezhetőségre alapuló támadást az Interneten, közölték a Microsoft illetékesei, akik azt is bejelentették, hogy az Internet Consortium for Advancement of Security on the Internet (ICASI) szervezettel közösen dolgozva foglalkoznak az esettel.

Miért jelent komoly problémát a TLS és az SSL biztonsági hiányossága? Azért, mert a két protokollt számos Microsoft termékben használják, kliens- és szerveroldali szoftverekben egyaránt. Ennek megfelelően az érintett programok száma elég nagy: többek között a Windows 7, a Windows Server 2008 R2 és a Windows XP is szerepel a javítandó termékek listáján, hogy csak a leginkább elterjedteket említsük.

Két tényező ugyanakkor csökkenti a hiba jelentette fenyegetés mértékét. Egyrészt az Internet Information Services (IIS) 6.0-s vagy annál újabb változatát futtató webszerverek alapértelmezett beállításként használva nem érintettek. Másrészt a felhasználókat csak akkor tudják behúzni a csőbe a támadók, ha sikeresen átverik egy másik támadással (például a helyi alhálózat ellen irányuló kísérlettel vagy DNS hamisítással).

A Microsoft folytatja a sebezhetőségek vizsgálatát – ebből következően a hét elején megjelent patch-csomagban még nem találunk foltot a sérülékenységekre. Ennek ellenére érdemes telepíteni annak, aki még nem tette meg: összesen 26, köztük számos kritikus fontosságú biztonsági rést tüntet el a rendszerből a februári Patch Tuesday.