پیش از این به موضوعی در باره یک حفره امنیتی مربوط به دهه ۹۰ میلادی به نام FREAK
پرداختم و گفتیم که سایتهای حساس و بزرگی را در برابر حملات، آسیبپذیر
میکند؛ مرورگر سافاری اپل و مرورگر پیشفرض اندروید نسبت به این حمله در
معرض خطر بودند، حال با بررسیهای انجام شده، ویندوز هم به لیست پلتفرمهای
آسیبپذیر اضافه شده است.
به گزارش سافت گذر به نقل اززومیت؛ تمامی نسخههای سیستمعامل ویندوز در برابر حملات FREAK آسیبپذیر
هستند؛ FREAK مخفف عبارت «Factoring attack on RSA-EXPORT Key» یا حمله
فاکتوری به کلید RSA نامیده شده است و زمانی که کاربر به یک سایت ایمن با
پروتکل HTTPS مراجعه میکند او را در معرض خطر قرار خواهد داد.
کمپانی مایکروسافت تائید کرد که سیستمعامل ویندوز نسبت به ضعف امنیتی
FREAK آسیبپذیر است. همچنین مرورگر اینترنتاکسپلورر هم اکنون به عنوان
یکی از مرورگرهای آسیبپذیر شناخته میشود. در ابتدا تصور میشد که این ضعف
امنیتی که در فناوری رمزگذاری SSL/TLS کشف شده فقط محدود به
سیستمعاملهای اپل و اندروید میشود؛ ولی اکنون با اضافه شدن ویندوز به
این لیست، کاربران در معرض تهدید FREAK به طور چشمگیری افزایش مییابد. طبق
آخرین آمار، ویندوز بر روی حدود ۹۲ درصد از کامپیوترهای جهان نصب
است. شرکت مایکروسافت با انتشار اطلاعیهای آسیبپذیر بودن ویندوز را تائید
کرده است. در این اطلاعیه آمده است که ضعف امنیتی FREAK با شناسهی
آسیبپذیری «CVE-2015-1637» شناخته شده و در بخش Secure Channel سیستمعامل
قرار دارد و این مسئله در تمام نسخههای قدیمی و جدید ویندوز وجود دارد.
Secure Channel یا Schannel مجموعهای از پودمانهای ویندوز است که برای
رمزگذاری به شیوه SSL و TLS از فناوریهای رمزگذاری سیستمعامل بهره
میجوید.
نسخههای آسیبپذیر ویندوز شامل موارد زیر است:
- Windows Server 2003
- Windows Vista
- Windows Server 2008
- Windows 7
- Windows 8 and 8.1
- Windows Server 2012
- Windows RT
چون سیستمعامل ویندوز آسیبپذیر است، در نتیجه مرورگر اینترنت اکسپلورر
هم که از امکانات رمزگذاری سیستمعامل برای برقراری ارتباط SSL/TLS
استفاده میکند، نسبت به ضعف FREAK آسیبپذیر است. نکته قابل توجه درباره
این ضعف امنیتی در ویندوز، آسیبپذیر بودن ویندوز XP است که شرکت
مایکروسافت آن را پشتیبانی نمیکند و برای آن وصلهی امنیتی منتشر نمیکند.
بر اساس آخرین آمار، هنوز ۲۱ درصد از کامپیوترهای متصل به اینترنت از این
سیستمعامل قدیمی ۱۳ ساله استفاده میکنند. مایکروسافت در اطلاعیهی خود
اشارهای به انتشار وصلهی امنیتی برای رفع این ضعف امنیتی در ویندوز نکرده
است؛ اما چون زمان انتشار اصلاحیههای ماهانه این شرکت نزدیک است، احتمال
دارد مایکروسافت از این فرصت برای رفع آسیبپذیری جدید هم استفاده کند.