Security Advisory 977377 - Haavoittuvuus Windowsin TLS/SSL-toteutuksessa

Microsoft on juuri äsken julkaissut uuden Security Advisoryn 977377 otsikolla Vulnerability in TLS/SSL Could Allow Spoofing. Microsoftin Security Advisory koskee Windowsin TLS/SSL-toteutusta, mutta itse haavoittuvuus liittyy TLS- ja SSL-protokollien määritykseen ja koskee näin ollen useita eri toteutuksia, ei pelkästään Windowsin toteutusta. Haavoittuvuus on MSRC:n tutkinnassa, ja siihen on korjaus tekeillä, ja lisäksi MSRC koordinoi korjauksen julkaisemista yhdessä ICASI-organisaation kanssa (Internet Consortium for Advancement of Security on the Internet) sekä muiden valmistajien kanssa.

Haavoittuvuus koskee tämän hetkisen tiedon mukaan kaikkia tuettuja Windows-versioita ja niiden TLS- (Transport Layer Security) ja SSL-toteutuksia (Secure Sockets Layer) . Haavoittuvuus antaa vihamieliselle hyökkääjälle mahdollisuuden puuttuu palvelimen ja työaseman väliseen suojattuun liikenteeseen. On kuitenkin huomattava, että Internet Information Server -palvelimen (IIS) versio 6.0 ja uudemmat versiot eivät oletuskokoonpanossa ole alttiita haavoittuvuudelle. ko. palvelinversiot ovat haavoittuvaisia ainoastaan, jos niissä olevaan sivustoon määritetään käyttöön ns. molemminpuolinen autentikointi (mutual authentication). 

Haavoittuvuuteen ei siis vielä ole korjausta saatavilla - mitä voin tehdä haavoittuvuuden aiheuttaman riskin pienentämiseksi? No, ihan ensimmäisenä kannattaa lukaista itse Advisory - Advisoryn loppuosassa, kohdan Workarounds alla on dokumentoitu keino, jolla haavoittuvuuden aiheuttamaa riskiä voidaan pienentää IIS 6.0 -palvelimissa ja uudemmissa, joissa on käytössä mutual authentication -toiminto.

Lisätietoja löytyy Security Research and Defense -blogista osoitteesta https://blogs.technet.com/srd/archive/2010/02/09/details-on-the-new-tls-advisory.aspx.