• Tweet

Microsoft esta consiente de la información detallada que se publicó describiendo un nuevo método para explotar una vulnerabilidad en SSL 3.0 y TLS 1.0, afectando al sistema operativo Windows.

Esta vulnerabilidad afecta por sí al protocolo y no es para un sistema operativo específico de Windows. Esta vulnerabilidad de divulgación de información permite revelar el tráfico cifrado por SSL/TLS, impacta principalmente a tráfico HTTPS, ya que el navegador es el primer vector de ataque, y todo el tráfico web servido a través de HTTPS o contenido mixto HTTP/HTTPS es afectado.

"No tenemos conocimiento de un manera para explotar esta vulnerabilidad en otros protocolos o componentes, y no nos hemos percatado de ataques que traten de utilizar la vulnerabilidad reportada en este momento. Considerando el escenario de ataque de esta vulnerabilidad no se considera un gran riesgo para los clientes", señala Microsoft.

Se está trabajando con socios de su Microsoft Active Protections Program (MAPP) para proveer información que pueda utilizarse para proveer una amplia protección a los clientes.

Al término de esta investigación, Microsoft tomará acciones apropiadas que ayuden a proteger a sus clientes. Esto puede incluir una actualización de seguridad a través de la publicación mensual o una actualización de seguridad fuera de tiempo, dependiendo de las necesidades que se presenten.

Factores mitigantes:

• El ataque debe hacer cientos de peticiones  HTTPS antes que pueda tener éxito.
• TLS 1.1, TLS 1.2, y todos los conjuntos de cifrado que no usen el modo CBC, no son afectados.