Niet alleen Android- en Applegebruikers lopen risico door de deze week onthulde "FREAK attack" op TLS/SSL, ook Windowsgebruikers zijn kwetsbaar, zo laat Microsoft weten. Via het lek kan een aanvaller die zich tussen een doelwit en het internet bevindt in bepaalde gevallen de encryptie van de versleutelde verbinding naar een zwakke encryptie downgraden, om die vervolgens te kraken en het versleutelde verkeer te bekijken.
In eerste instantie werd gesteld dat Apple TLS/SSL-clients, zoals Safari, en de standaard Androidbrowser kwetsbaar waren. Volgens Microsoft is het probleem ook aanwezig in alle ondersteunde versies van Windows. Om de aanval te laten slagen is het daarnaast vereist dat de server waarmee de gebruiker een beveiligde verbinding opzet "RSA key exchange export ciphers" ondersteunt. Uit onderzoek onder 14 miljoen websites blijkt dat dit bij 36,7% nog het geval is. Verschillende internetbedrijven hebben echter aangegeven deze export-grade-encryptie uit te faseren.
Of Microsoft met een noodpatch voor het probleem komt is nog onbekend. De softwaregigant zegt het probleem te onderzoeken en aan de hand daarvan te beslissen of er een noodpatch verschijnt of de update via de maandelijkse patchcyclus wordt verspreid. Microsoft zegt geen informatie te hebben waaruit zou blijken dat Windowsgebruikers via de kwetsbaarheid zijn aangevallen. In afwachting van de update kunnen Windowsgebruikers de zwakke encryptie zelf uitschakelen. Dit kan er echter voor zorgen dat Windows geen verbinding met systemen kan maken die alleen de zwakke encryptie ondersteunen.
Meer browsers
Onderzoekers stellen op Freakattack.com dat veel meer browsers kwetsbaar zijn dan in eerste instantie werd aangenomen. Op de website is een overzicht van kwetsbare clients te vinden. Het gaat om Internet Explorer, Chrome op Mac OS, Chrome op Android, Safari op Mac OS X, Safari op iOS, de standaard Androidbrowser, Blackberry Browser, Opera op Mac OS X en Opera op Linux. Voor Chrome op Mac OS is inmiddels een update beschikbaar. Updates voor Safari zouden volgende week moeten verschijnen.
Bron: Security.nl