FREAK安全漏洞允許攻擊者對(duì)安全套接層(簡稱SSL)與安全傳輸層(簡稱TLS)之間的加密連接實(shí)施中間人攻擊，這一利用過期密碼的攻擊手段已經(jīng)被受害方證實(shí)有效。而這一次，微軟的Secure Channel堆棧亦未能幸免。

“微軟已經(jīng)意識(shí)到其Secure Channel(Schannel)當(dāng)中存在安全功能規(guī)避漏洞，其能夠影響到全部受支持的微軟Windows版本，”微軟公司在一份安全咨詢資料中指出。“該漏洞源自已經(jīng)得到公開披露的FREAK技術(shù)，該問題的影響范圍極為廣泛、并非僅限于微軟Windows操作系統(tǒng)。”

盡管微軟研究部門正是發(fā)現(xiàn)FREAK安全漏洞的歐洲密碼專家團(tuán)隊(duì)的組成部分，但微軟在今天之前一直對(duì)這一涉及Windows系統(tǒng)的問題避而不談。

“在這份安全咨詢資料發(fā)布之初，微軟公司并沒有收到足以表明這一問題已經(jīng)被公開用于針對(duì)客戶開展攻擊的可靠信息，”微軟方面解釋稱。

微軟同時(shí)指出，其正在與微軟Active Protections Program合作伙伴開展主動(dòng)合作以實(shí)現(xiàn)保護(hù)，而且一旦相關(guān)調(diào)查工作徹底完成，微軟方面將”采取適當(dāng)?shù)呐e措以保護(hù)客戶安全”。

“具體舉措可能包括通過每月發(fā)布流程提供安全更新或者推送周期之外的安全更新，實(shí)際方式取決于客戶的需要，”微軟公司指出。

此次受到影響的Windows版本包括Windows Server 2003、Windows Vista、Windows Server 2008、Windows 7、Windows 8與8.1、Windows Server 2012以及Windows RT。

微軟公司表示，用戶能夠通過在組策略對(duì)象編輯器內(nèi)修改SSL密碼套件禁用導(dǎo)致FREAK問題的RSA密鑰交換機(jī)制——除非用戶所使用的是Windows Server 2003版本，此版本不允許啟用或者禁用個(gè)人密碼。

“Windows服務(wù)器在默認(rèn)配置下(禁用導(dǎo)出密碼)不會(huì)受到影響，”微軟公司指出。

在本周早些時(shí)候有消息指出該存在漏洞的軟件堆棧與蘋果TLS/SSL與OpenSSL密切相關(guān)之后，已經(jīng)有多家企業(yè)陸續(xù)公布了受到該問題影響的系統(tǒng)清單。

截至本文發(fā)稿時(shí)，freakattack.com網(wǎng)站上公布的受影響網(wǎng)絡(luò)瀏覽器包括IE、Android版本Chrome、Android瀏覽器、Mac OS X以及iOS上的Safari、黑莓瀏覽器以及Mac OS X與Linux平臺(tái)上的Opera。

用戶現(xiàn)在已經(jīng)可以利用FREAK客戶端測試工具檢測自己的網(wǎng)絡(luò)瀏覽器是否受到影響。