Windows安全通道(Secure Channel,Schannel)被曝漏洞,微軟日前發(fā)布列為重大等級(jí)的MS14-066信息安全公告,揭露了在Schannel中的遠(yuǎn)程代碼執(zhí)行漏洞(CNNVD-201411-136)。
受影響的微軟產(chǎn)品包括:
個(gè)人端操作系統(tǒng):Windows VistaSP2、Windows 7 SP1、Windows 8到Windows 8.1
服務(wù)器操作系統(tǒng):Windows Server 2003 SP2、2008 SP2、2008 R2 SP1、2012到2012 R2
微軟平板:Windows RT和Windows RT 8.1。
黑客可以構(gòu)造特定的數(shù)據(jù)包在Schannel中遠(yuǎn)程執(zhí)行惡意代碼,并借此漏洞入侵系統(tǒng)。因?yàn)镾channel是Windows實(shí)現(xiàn)SSL/TLS協(xié)議的組件之一,所以CNNVD-201411-136漏洞就像是OpenSSL中的Heartbleed漏洞(CNNVD-201404-073),危害巨大。
安全工程經(jīng)理Ross Barrett表示,目前CNNVD-201411-136漏洞的影響還不大,但是如果攻擊代碼泄漏,該漏洞將會(huì)成為嚴(yán)重的問題,且影響會(huì)擴(kuò)大。
目前,微軟也尚未接到有關(guān)該漏洞已公開用來攻擊用戶的消息,而微軟在官網(wǎng)也表示,此安全更新可以更正Schannel清理特定封包的方式,進(jìn)而消除此項(xiàng)安全風(fēng)險(xiǎn)。