Microsoft har bekräftat att alla Windows-datorer är utsatta för ett HTTPS-utnyttjande som kallas FREAK som redan har påverkat en rad Android- och Apple-enheter.

Felet var ursprungligen avslöjat på måndagen och det ansågs att datorer som kör Windows inte påverkades av exploateringen som har funnits i mer än 10 år och tillåter angripare att enkelt dekryptera trafik som skickas via en HTTPS-anslutning mellan slutanvändare och webbplatser.

Anfall kan utföras när en slutanvändare på en sårbar enhet ansluter till en HTTPS-skyddad webbplats som också är sårbar, och de platser som är utsatta för risker är de som använder den svaga chiffer som trodde att de var långa pensionärer.

FREAK, som står för factoringangrepp på RSA-EXPORT-nycklar, tillåter dem som övervakar trafiken att införa skadliga paket i trafikflödet som tvingar slutanvändaren och webbplatsen att använda en svagare 512-bitars krypteringsnyckel medan den är i en krypterad webbsession.

Attackers kan samla in information som skickas över denna utbyte genom att använda molnet för att faktor webbplatsens underliggande privata nyckel. Denna process kostar bara 100 kronor (cirka 66 kronor, eller 130 kronor) och tar ungefär sju timmar att slutföra. När det har hänt kan angriparen fungera som den officiella HTTPS-skyddade webbplatsen för att kunna läsa eller ändra data som reser mellan webbplatsen och slutanvändarna.

Ingen Windows-patch

Problemets omfattning fastställdes av en rapport från säkerhetsforskare på FREAKattack.com som fann att 36% av de 14 miljoner HTTPS-skyddade webbplatser som undersöktes använde den svaga chiffern.

Apple och Google har redan släppt uppdateringar som löser problemet och även om Microsoft ännu inte har utvecklat en patch för att kringgå problemet som påverkar alla konsumentversioner av Windows, rekommenderar det användarna att tillämpa en lösning som beskrivs här.

Via: Ars Technica

  • Varför måste du kryptera data i molnet