Blant de mange sikkerhetsoppdateringene Microsoft kom med i går, er en oppdatering til alle nyere Windows-varianter som fjerner en svært alvorlig sårbarhet i Secure Channel (Schannel), en Security Support Provider i operativsystemet som sørger autentisering av identiteter og sikker, privat kommunikasjon ved hjelp av kryptering. I denne komponenten er protokoller som SSL (Secure Sockets Layer) og TLS (Transport Layer Security) implementert. Ifølge Microsoft brukes Schannel primært av internett-applikasjoner som krever sikkerhet HTTP-kommunikasjon.
Sårbarheten som nå har blitt fjernet, åpner for fjernkjøring av vilkårlig kode dersom en angriper sender spesielt utformede pakker til en Windows-server. Det er først og fremst på servere at Schannel kjøres, men komponenten kan også kjøres i klientversjoner av operativsystemet og er i så fall like sårbar der.
I sikkerhetsfiksen har Microsoft korrigert hvordan Schannel håndterer spesielt utformede pakker. Dessuten inkluderer oppdateringen nye TLS-chiffersamlinger som tilbyr mer robust kryptering.
Det skal ikke være noen andre måter å redusere faren ved denne sårbarheten på enn å installere sikkerhetsoppdateringen.
På det tidspunktet da sikkerhetsoppdateringen ble utgitt i går, var Microsoft ikke kjent med angrep som utnytter sårbarheten. Men nå som i alle fall noen detaljer om sårbarheten har blitt gjort kjent, anses det som mer sannsynlig at den vil bli utnyttet. Derfor er det viktig at sikkerhetsfiksen installeres raskt.
Les også:
- [14.11.2014] Fjernet eldgammel Windows-sårbarhet
- [10.11.2014] Kjempeoppdatering fra Microsoft
- [20.10.2014] Windows-oppdateringer skaper problemer
- [15.10.2014] Har funnet enda en SSL-sårbarhet
- [30.07.2014] «Heartbleed»: - Feilfiks holder ikke
