Microsoft заявила, что для закрытия известной уязвимости в протоколах, использующихся для защиты соединений с веб-сайтами, может быть выпущено соответствующее обновление.

Несмотря на то, что о наличии уязвимости в криптографических протоколах SSL 3.0 и TLS 1.0 было известно уже около десяти лет назад, практическое средство для взлома этих протоколов было представлено только на прошлой неделе. На конференции Ekoparty исследователи Тай Дуон и Хулиано Риззо продемонстрировали программу под названием BEAST, представляющую собой инструмент для атаки на браузеры, способный расшифровывать аутентификационные куки, передаваемые по протоколу HTTPS.

В своём предупреждении об опасности Microsoft сообщает, что после исследования ситуации компания примет нужные меры для защиты своих клиентов. Эти меры могут включать выпуск соответствующего обновления безопасности. В то же время, Microsoft считает, что обнаруженная уязвимость не представляет большой угрозы для пользователей, и не называет конкретных сроков выпуска обновления.

Эндрю Стормс, руководитель отдела безопасности в компании nCircle Security, полагает, что Microsoft не будет торопиться с выпуском обновления, если только реальные атаки на SSL не начнут происходить в больших количествах.

"До тех пор, пока мы не увидим широкого распространения атак, я не думаю, что на компанию [Microsoft] будет оказываться большое давление с целью заставить их выпустить обновление вне месячного цикла, - говорит Стормс. - И обратите внимание, что по сути это не является проблемой Microsoft. Проблема является системной и связана с реализацией криптографии, затрагивающей множество поставщиков ПО".

Internet Explorer использует реализацию SSL и TLS соответствующей операционной системы Windows, поэтому Microsoft планирует выпустить патч для операционных систем, а не для браузеров. Windows 7 и Windows Server 2008 R2 поддерживают TLS 1.1, однако из-за почти полного отсутствия поддержки этого протокола веб-сайтами этот протокол по умолчанию не используется. Microsoft признаёт значимость угрозы, однако при этом считает, что возможные атаки на SSL являются непрактичными.

"В некоторых случаях атакующий может расшифровать SSL-трафик [...], однако существуют значительные сдерживающие факторы, которые могут затруднить атаку или сделать её невозможной вовсе", - сообщают исследователи из Центра безопасности Microsoft.

Для того, чтобы защититься от атак, перед тем, как связываться с некоторым сайтом по протоколу HTTPS, пользователям следует закрыть все закладки в браузере. "Если пользователь выйдет из своей учётной записи, завершив HTTPS-сессию, перед тем, как начать просматривать другие HTTP-сайты или ненадёжные HTTPS-сайты, пользователь не будет подвержен риску быть атакованным" - поясняют исследователи.

Компания Google уже выпустила dev- и beta-версию своего браузера Chrome, в которых возможность атак со стороны кода, подобного BEAST, заблокирована.

Компания Mozilla, в свою очередь, заявила, что, несмотря на то, что Firefox полагается на TLS 1.0, сам браузер SSL-атакам не подвержен. "Для проведения атаки необходимо полностью контролировать данные, передаваемые через соединения, возникающие со стороны браузера, чего Firefox просто не позволяет", - написано в блоге компании.

В то же время, Mozilla подтвердила, что исследователи, создавшие BEAST, обнаружили уязвимость в плагине Java, которая, всё-таки, позволяет провести атаку. Для защиты от подобных атак Mozilla призывает пользователей Firefox отключить плагин Java. Компания также пытается оценить целесообразность отключения плагина Java во всех своих установках Firefox.