Freak漏洞也影響Windows 專家建議網(wǎng)站加緊修復(fù)

上周五，微軟公司警告稱，數(shù)以億計(jì)的Windows PC用戶也正面臨Freak安全漏洞威脅，起初該漏洞被認(rèn)為僅對(duì)移動(dòng)設(shè)備和蘋果Mac電腦構(gòu)成威脅。據(jù)悉，黑客利用該漏洞可以竊取蘋果Safari和谷歌Android瀏覽器的用戶通信，同時(shí)可通過惡意軟件感染用戶電腦。

“Freak”是“Factoring RSA Export Keys(分解RSA導(dǎo)出密鑰)”的縮寫。該漏洞可以追溯到1990年，當(dāng)時(shí)，美國(guó)科技界和政府在網(wǎng)絡(luò)信息加密問題上展開了拉鋸戰(zhàn)。開發(fā)和研究人員相信人們的機(jī)密信息必須受到保護(hù)，政府則擔(dān)心它無法監(jiān)控通訊，或者算法被國(guó)外間諜竊取。在美國(guó)政府看來，強(qiáng)大的算法屬于武器的戰(zhàn)爭(zhēng)，他們需要確保自己能解密外國(guó)所有加密通信，而不被外國(guó)解密，因此故意出口疲軟密碼套件。

最終，加密強(qiáng)度定在了512字節(jié)。高于這一強(qiáng)度的產(chǎn)品通訊，政府都有權(quán)并有義務(wù)攔截。自標(biāo)準(zhǔn)確定之后，一晃十幾年過去，互聯(lián)網(wǎng)已今非昔比。這條限制慢慢成為了空文，信息加密手段也日益更新，但不少網(wǎng)站和瀏覽器仍舊停留在那個(gè)時(shí)代特殊的加密強(qiáng)度，這意味著這些網(wǎng)站和瀏覽器會(huì)在幾個(gè)小時(shí)內(nèi)被破解。

頂級(jí)“白帽子”安全研究團(tuán)隊(duì)Keen Team研究員Flanker表示，F(xiàn)reak漏洞的危害還沒到“heartbleed”(心臟出血)漏洞那個(gè)級(jí)別，但比SSL漏洞“Poodle”要嚴(yán)重不少。Freak漏洞的大概原理是有一部分服務(wù)端有某個(gè)配置，攻擊者可以偽造數(shù)據(jù)包打開這個(gè)開關(guān)，之后會(huì)在session(會(huì)話)中使用弱密鑰導(dǎo)致容易被解密。微軟方面建議，系統(tǒng)管理員應(yīng)該對(duì)工作區(qū)進(jìn)行配置，將Windows服務(wù)器上“允許使用較弱的加密”功能設(shè)置為禁用。

騰訊電腦管家安全專家馬勁松也表示，受影響的網(wǎng)站需要快速做出反應(yīng)，及時(shí)進(jìn)行安全更新，避免波及更多用戶。同時(shí)，蘋果、谷歌、微軟等也在緊急開發(fā)修復(fù)補(bǔ)丁，用戶一定要密切關(guān)注，及時(shí)更新，消除此漏洞隱患。