14. 11. 2014

Secure Channel, známý také jako Schannel, je technologie, která se používá v systémech Windows pro implementaci bezpečnostních komunikačních protokolů SSL a TLS. Primárně je používán pro internetové aplikace vyžadující zabezpečenou HTTP (Hypertext Transfer Protocol) komunikaci.

Charakteristika a dopad zranitelnosti

Objevená zranitelnost umožňuje neautorizovaným útočníkům vzdálené spuštění kódu, což je způsobeno nesprávným zpracováním speciálně vytvořených paketů. Nejpravděpodobnějším cílem jsou služby dostupné z vnějšku, např. webové a poštovní servery. V době zveřejnění opravy zranitelnosti (12. 11. 2014) nebyly známy informace, které by naznačovaly, že tato chyba byla zneužita k útokům na uživatele systému Windows.

Postižené systémy

  • Windows Vista,
  • Windows 7,
  • Windows 8,
  • Windows 8.1,
  • Windows Server 2003,
  • Windows Server 2008,
  • Windows Server 2008 R2,
  • Windows Server 2012,
  • Windows Server 2012 R2,
  • Windows RT,
  • Windows RT 8.1.

Řešení

Prostřednictvím aplikace Windows Update stáhnout aktualizaci KB2992611, která chybu v Secure Channel opraví.

CVE

CVE-2014-6321, MS14-066

Odkazy

http://msdn.microsoft.com/en-us/library/windows/desktop/aa380123(v=vs.85).aspx
https://technet.microsoft.com/library/security/ms14-066
http://technet.microsoft.com/library/2868725.aspx
http://threatpost.com/microsoft-schannel-bug-latest-in-long-line-of-serious-crypto-flaws/109321
https://isc.sans.edu/forums/diary/How+bad+is+the+SCHANNEL+vulnerability+CVE-2014-6321+patched+in+MS14-066/18947