As atualizações de segurança de Dezembro de 2014 do Internet Explorer e a desativação do SSL 3.0 fallback

A desativação do SSL 3.0 fallback

Nós anteriormente publicamos o Aviso de Segurança  3009008 informando que a Microsoft irá desabilitar o SSL 3.0 por padrão no Internet Explorer e em todos os serviços online da Microsoft para os próximos meses. Para continuar a ajudar a proteger os clientes, daremos um passo intermediário para fornecer a opção de desabilitar SSL 3.0 no Internet Explorer 11 para  sites  em Modo Protegido , que é o padrão para sites da Internet e de sites restritos. Esta mudança está atualmente desativada por padrão, e temos planos para reabilitá-lo por padrão no Internet Explorer 11 em 10 de Fevereiro de 2015.

O que é o SSL 3.0 fallback?

A vulnerabilidade Poodle SSL 3.0 expôs uma fraqueza, não só no protocolo SSL 3.0, mas na maneira em que os navegadores negociam uma conexão HTTPS com os servidores web. Por interferir com a conexão entre o cliente e o servidor de destino, um ataque man in the middle pode forçar um downgrade do TLS 1.0 ou protocolos mais recentes,  para um mais seguro como o protocolo SSL 3.0.

Em um nível alto, geralmente quando um navegador da Web se conecta a um site HTTPS, ele vai primeiro tentar fazê-lo usando o protocolo de mais alto nível disponível de encriptação. Se esta conexão falhar durante a negociação, o navegador vai cair de volta e tentar fazer uma conexão com um protocolo de criptografia inferior, eventualmente caindo para SSL 3.0. A grande maioria das vezes, um downgrade de TLS 1.0 para SSL 3.0 é o resultado de um erro inocente, mas este é indistinguível de um ataque man-in-the-middle.

Quando é que o Internet Explorer bloqueia o SSL 3.0 fallback?

A atualização cumulativa de Dezembro de 2014 do  Internet Explorer (KB3008923), permite que os usuários façam a opção e bloqueiem o SSL 3.0 fallback no Internet Explorer 11. Os clientes corporativos são capazes de configurar esse comportamento através de política de grupo, e este comportamento também será configurável via registro ou usando uma fácil solução com um clique através do botão Fix it. Detalhes sobre como configurar esse comportamento pode ser encontrado em KB3013210.

 A partir de 10 de fevereiro de 2015, o Internet Explorer 11 irá impedir o fallback inseguro para SSL 3.0 para sites em modo protegido.

Como posso testar se o meu servidor será afetado?

Por favor, reveja as configurações do servidor web e a documentação técnica, como muitos servidores ainda suportam TLS 1.0 fallback para SSL 3.0 . Há uma série de testes de terceiros disponíveis que podem ajudá-lo.

A desativação SSL 3.0 no seu browser irá permitir que você veja quais sites não suportam TLS e precisam ser atualizados. Encorajamos os usuários a utilizar as soluções alternativas e fáceis, com apenas com um clique no Fix it, como previsto no Aviso de Segurança  3009008 para desativar SSL 3.0 no seu browser.

Atualizações de Segurança

  • Boletim de Segurança da Microsoft MS14-080 – Esta atualização crítica de segurança elimina quatorze vulnerabilidades reportadas no Internet Explorer. Para obter mais informações, consulte a o boletim completo..

  • Atualização de segurança para o Flash Player (3008925) 

Esta atualização de segurança para o Adobe Flash Player no Internet Explorer 10 e 11 em edições suportadas do Windows 8, o Windows 8.1 e Windows Server 2012 e Windows Server 2012 R2 também está disponível. Os detalhes das vulnerabilidades estão documentadas na Adobe boletim de segurança APSB14-27. Esta atualização resolve as vulnerabilidades no Adobe Flash Player, atualizando os binários afetados do Adobe Flash a contidos Internet Explorer 10 e Internet Explorer 11. Para obter mais informações, consulte o comunicado.

Como ficar atualizado

A maioria dos clientes têm atualizações automáticas habilitadas e não precisará tomar nenhuma providência porque essas atualizações serão baixadas e instaladas automaticamente. Os clientes que não têm a  atualização automática para verificar as atualizações, podem instalar esta atualização manualmente.

 

– Alec Footpad configuration, Gerente de Programa, o Internet Explorer 

 

Original: http://blogs.msdn.com/b/ie/archive/2014/12/09/december-2014-internet-explorer-security-updates-amp-disabling-ssl-3-0-fallback.aspx