Microsoft a lansat ieri seară tradiţionalul pachet de actualizări Windows care este oferit în cea de-a doua zi de marţi a fiecărei luni (Patch Tuesday), şi probabil că cei mai mulţi dintre noi le-am instalat deja fără să ne obosim să citim şi descrierile. Cei care tărăgănează actualizarea sistemelor de operare Windows au însă un motiv bun să o facă imediat de această dată, deoarece printre actualizări se numără şi una care astupă o vulnerabilitate critică.
Vulnerabilitatea a fost descoperită în cadrul modulului Microsoft Secure Channel, care se ocupă, printre altele, şi cu criptarea SSL şi TLS. Din cauza unor erori în implementarea rutinelor software pentru filtrarea traficului, atacatorii pot executa cod străin pe un sistem Windows prin simpla trimitere către acesta a unor pachete special concepute.
Deşi vulnerabilitatea pare a afecta doar serverele, aceasta este prezentă în realitate pe toate calculatoarele şi atacatorii pot viza serviciile bazate pe rutinele native de criptare Microsoft care deschid porturi şi aşteaptă conectări din exterior, cum ar fi Remote Desktop sau FTP. Microsoft afirmă că nu există cale pentru ocolirea acestei probleme în afară de actualizarea sistemului. Conform companiei, nu există indicii că această breşă a fost exploatată până acum, ceea ce este o veste bună ţinând cont că acesta are nu mai puţin de 19 ani vechime şi s-a propagat în codul Microsoft de la Windows 95 încoace. Din păcate, utilizatorii de Windows XP sunt lăsaţi neprotejaţi deoarece perioada de suport a expirat în acest an.
Vulnerabilitatea este descrisă în comunicatul de securitate MS14-066 şi este corectată de actualizarea KB2992611. Aceasta este disponibilă pentru sistemele de operare Windows Vista/7/8/8.1, Windows RT/RT 8.1 şi Windows Server 2003/2008/2008 R2/2012/2012 R2.