Úvodní stránka » Bezpečnost » Kritická chyba v Schannel - poslední SSL/TLS pevnost dobyta

Kritická chyba v Schannel - poslední SSL/TLS pevnost dobyta

(19.11.2014) Rok 2014 se nese ve znamení kompromitací všech oblíbených šifrovacích knihoven na všech dostupných platformách. Celkově byly během roku objeveny zranitelnosti v Apple Secure TransportGNUTLSOpenSSL, Mozilla NSS a konečně i v Microsoft SChannel.

Schannel = OpenSSL pro Windows

Schannel je knihovna pro SSL/TLS šifrování, čili obdoba známé knihovny OpenSSL na Windows. OpenSSL jistě znáte především díky dubnové zranitelnosti Heartbleed, o které jsme v magazínu psali v článku . Po oznámení této zranitelnosti ve starších verzích OpenSSL muselo dojít k hromadnému znovuvydání certifikátů (reissue), jelikož jejich privátní klíč mohl být kompromitován. Správci "Microsoftích" serverů nebyli zranitelností Heartbleed dotčeni a nemuseli tyto opatření provádět.

Zranitelnost Schannel se týká všech verzí Windows

Ani správci Windows serverů neprožijí tento kalendářní rok zcela v klidu, protože nové objevená zranitelnost v knihovně Schannel se dotýká prakticky všech verzí Windows serverů, ale i běžných desktopových PC. Zranitelnost dostala přezdívku Winshock. Na rozdíl od Heartbleed zde není riziko kompromitace certifikátu, ale mnohem horší průnik do systému právě přes knihovnu Schannel a spuštění vzdáleného kódu. Stručné informace o zranitelnosti najdete přímo na webu Microsoftu v bulletinu Microsoft Security Bulletin MS14-066.

Microsoft tvrdí, že zatím neví o praktickém zneužití této zranitelnosti. Očekává však, že hackeři reverzním inženýrstvím odhalí detaily nezveřejněné chyby, a začnou ji aktivně zneužívat. To může být do týdne od vydání opravy, a pak se tato zranitelnost může stát větším problémem, než Heartbleed.

Pozor na Windows XP

Opravena byla i další zranitelnost Windows OLE (MS14-064), která je stará už 19 let. Je tedy přítomna v již nepodporovaných produktech a operačních systémech. Nenechte se zmýlit tím, že Microsoft nevydává opravy pro starší systémy. Například Windows XP jsou zranitelné, ale jejich podpora skončila, a další updaty nebudou. Není proto dobrý nápad je používat pro přístup na internet.

Jak zranitelnost opravit?

Microsoft už vydal aktualizaci , kterou musí nainstalovat všichni uživatelé Windows, nejen správci Windows Serverů. Zapněte tedy Windows Update na svém PC a nainstalujte poslední aktualizace. Pokud používáte Windows XP, přejděte na novější systém.

Doufejme, že po bouřlivém roce 2014 budou tvůrci softwaru pozornější, a jejich šifrovací knihovny budou opět (alespoň chvíli) důvěryhodné.

P.S. Projděte si seznam všech letošních Security Bulletins 2014 - kritických chyb není u MS rozhodně málo.

Bc. Jindřich Zechmeister
Specialista pro bezpečnostní SSL certifikáty
Certifikovaný Symantec Sales Expert Plus 
e-mail: jindrich.zechmeister(at)zoner.cz

Přidat komentář

Zvýrazněné položky jsou povinné.


Rubriky

  • Aktuality
  • Novinky ze SSLmarketu
  • Bezpečnost
  • Zajímavosti o SSL
  • Návody k SSL
  • Týden v bezpečnosti
  • Speciály

  • Jak šifrovaně tunelovat s OpenVPN
  • Dvoufaktorová autentizace
  • Spojte se s námi

  • RSS kanál SSL blogu
  • SSLmarket na Facebooku
  • SSLmarket na Twitteru
  • SSLmarket na Google+
  • Kontakt
  • SSL market