Все версии Windows также открыты уязвимости FREAK, возникшей из-за старой экспортной политики США

Всего несколько дней назад считалось , что уязвимость ограничивается «дырами» в мобильных браузерах Apple и Google, давая возможность перехватывать данные пользователей на защищенных веб-сайтах. Однако позже стало известно, что компьютеры под управлением всех поддерживаемых релизов Microsoft Windows также уязвимы для FREAK — уязвимости из-за намеренного ослабления возможностей шифрования, вызванного политикой США более чем десятилетней давности в отношении ПО, идущего на экспорт. Microsoft предупредила, что протоколы шифрования, используемые в Windows — Secure Sockets Layer (SSL) и его преемник Transport Layer Security (TLS) — также уязвимы. «Наши исследования подтвердили, что уязвимость может позволить злоумышленнику ухудшить качество шифров, используемых в SSL/TLS-соединениях на клиентской системе Windows», — сообщила Microsoft на своем сайте . «Уязвимость облегчает эксплуатацию публично раскрытой техники FREAK, которая является проблемой всей отрасли, а не специфичной для операционных систем Windows». Microsoft заявила, что, скорее всего, исправит баг в одном из своих регулярных вторничных обновлений ПО — или выпустит патч вне этого цикла по мере его готовности. Если вы не хотите подвергнуть свои пароли и другие данные опасности, лучше установить соответствующий патч сразу же после его выхода. В то же время, Microsoft предложила вовсе отключить экспортные шифры RSA.  Сообщения о хакерской методике FREAK (аббревиатура от Factoring RSA Export Keys) всплыли несколько недель назад , когда группа исследователей обнаружила, что этот метод может заставить веб-сайты использовать намеренно ослабленное шифрование, которое они были в состоянии сломать в течение нескольких часов. После взлома шифрования сайта, хакеры могли украсть пароли и изменять элементы на странице. Исследователи сказали, что у них нет никаких доказательств, что хакеры эксплуатируют уязвимость, в возникновении которой обвиняют прежнюю политику США, которая запрещала американским компаниям экспортировать сильные стандарты шифрования.  Ограничения были сняты в конце 1990-х годов, но более слабые стандарты уже давно и прочно стали частью программного обеспечения, широко используемого по всему миру, в том числе ОС Windows и веб-браузеров. «RSA шифры «экспортного класса» — наследие 1980-х годов, когда правительство стремилось ослабить криптографию, чтобы спецслужбы могли следить за ПО», — поясняет в блоге Мэтью Грин, один из исследователей,  нашедших уязвимость. «Это было плохое решение. Настолько плохое, что хоть эта политика в конечном итоге была давно отменена, она по-прежнему больно отдается нам сегодня». Ссылка на источник