Gebruikers van Windows zijn toch vatbaar voor een kwetsbaarheid in ssl waarmee zwakke encryptie kan worden geforceerd. Aanvankelijk werd gedacht dat Windows-gebruikers gevrijwaard waren van het probleem, in tegenstelling tot OS X-, iOS- en Android-gebruikers.

Microsoft heeft nu bevestigd dat Windows-gebruikers wel degelijk kwetsbaar zijn voor de zogenoemde Freak-aanval. Alle ondersteunde Windows-versies zijn getroffen; oudere versies zoals Windows XP vermoedelijk ook, maar die zullen niet van een update worden voorzien. Wanneer een update uitkomt voor de ondersteunde Windows-versies, is vooralsnog onduidelijk. Overigens zijn alleen de desktopversies van Windows getroffen, en niet de serverversie.

Gebruikers kunnen voorkomen dat ze worden getroffen door een andere browser dan Internet Explorer te gebruiken. Chrome en Firefox gebruiken namelijk hun eigen ssl-library, in plaats van de SChannel-library van Windows. Daardoor zijn ze niet vatbaar.

De Freak-aanval kwam woensdag aan het licht en laat een aanvaller op een beveiligde verbinding een RSA-sleutel van slechts 512 bit forceren. Daartoe wordt een oude backdoor van de Amerikaanse overheid gebruikt. In de jaren negentig verbood de Amerikaanse regering bedrijven nog om buiten de Verenigde Staten sterke encryptie aan te bieden. Daardoor mochten rsa-encryptiesleutels in het buitenland bijvoorbeeld niet meer dan 512 bit zijn, zodat de Amerikaanse geheime diensten de communicatie relatief eenvoudig konden kraken.

De kwetsbaarheid blijkt al jaren aanwezig te zijn, maar bleef tot nu toe onderbelicht. Bij het maken van een ssl-verbinding wordt vanuit de kwetsbare browsers niet actief om dit lagere niveau van beveiliging gevraagd, maar een server kan er wel om vragen. Een aanvaller zou zich daarbij voor kunnen doen als een server en de lagere graad van beveiliging forceren. In dat geval wordt de sleutel van slechts 512 bit zonder waarschuwing geaccepteerd.

Naast Windows is onder meer Chrome op Android getroffen, evenals iOS en Safari op OS X. Ook BlackBerry 10 zou kwetsbaar zijn, evenals sommige versies van Internet Explorer op Windows Phone. De desktopversie van Chrome is niet kwetsbaar en Firefox evenmin.

OneMoreThing.nl

Published On: 05-03-15|Categories: nieuws|

Deel dit bericht