A cég tegnap adta ki szokásos havi javítócsomagját, és a 14 update között ott van a napokban nagy vihart kavart, úgynevezett FREAK sebezhetőségre elkészített javítás is.

Ahogy korábban az IT café is megírta, az INRIA munkatársa, egy francia biztonsági szakember, Karthikeyan Bhargavan a Microsoft Research segítségével fedezett fel egy már hosszú évek óta létező sebezhetőséget az SSL (Secure Sockets Layer) protokollban, illetve utódjában a TLS-ben (Transport Layer Security), mely egy támadó számára lehetővé teszi, hogy a kliensek és a szerverek közötti, gyenge titkosítású adatfolyamhoz hozzáférjenek.

A hibának a FREAK (Factoring Attack on RSA-EXPORT Keys) nevet adták, és közölték, hogy nagyon sok népszerű weboldalban megtalálható a sebezhetőség, emellett az Apple Safari böngészője, valamint az Android érintett, de azok az alkalmazások is, melyek az OpenSSL 1.0.1k előtti verzióit használják. Nem sokkal később azonban az is kiderült, hogy a windowsos rendszerekben is megtalálható a hiba, és ezt orvosolja most az MS15-031 jelzésű folt, mely a Vistától, illetve a Windows Server 2003-tól felfelé érkezett meg az automatikus frissítéssel a gépekre.

A másik két érintett cég, az Apple és a Google már korábban kiadta a javítást, a Google már március harmadikán. Ugyanakkor a Microsoft sem késlekedett: náluk nagyon ritka, hogy a hiba bejelentése után legalább egy hetet ne várjanak, de úgy tűnik, egyrészt nem akartak a versenytársak mellett lemaradni, másrészt pedig veszélyesnek találták a sebezhetőséget (bár jelentésükben az „important” kategóriába sorolták, ami csak a második a listán a legveszélyesebb hibákat jelző „critical” után).

A javítás eredményességét egyébként a https://freakattack.com/ weboldalon mindenki letesztelheti.