La vulnerabilidad FREAK también afecta a Microsoft Windows

Microsoft ha anunciado que diversas versiones de Windows están afectados por FREAK, una vulnerabilidad que permite realizar un ataque man-in-the-middle a través de los protocolos SSL y TLS.

Unos investigadores franceses fueron los que destaparon el problema, y una vez conocido Google y Apple decidieron ponerse manos a la obra para solucionar el problema, sin embargo y a pesar de haber formado parte del equipo que descubrió FREAK, Microsoft decidió no revelar cómo afectaba a sus sistemas hasta el día de ayer.

La compañía dijo que “cuando el aviso de seguridad fue originalmente liberado, Microsoft no había recibido ninguna información que indicara que este problema hubiese sido usado para atacar a nuestros cliente”, algo que honestamente suena a excusa barata, porque un fallo de seguridad siempre hay que solucionarlo cuanto antes, haya o no afectado a usuarios.

El gigante de Redmond ha comunicado que está “trabajando activamente” con su sus socios de Microsoft Active Protections Program con el fin de protegerlos, y una vez completada la investigación, tendría que tomar la decisión apropiada para ayudar a la protección de sus usuarios.

Microsoft ha añadido que “esto podría incluir el suministro de una actualización de seguridad a través de nuestro proceso de actualizaciones mensuales o suministrar una actualización fuera de ciclo, dependiendo de las necesidades de los clientes”.

Los usuarios pueden desactivar el sistema de cifrado de intercambio de claves RSA vulnerable a FREAK cambiando el «Conjunto de cifrado SSL» en «Editar directivas de grupo», al menos que se esté usando Windows Server 2003, que por defecto no perite modificar esta opción.

Las versiones afectadas son Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 and 8.1, Windows Server 2012 y Windows RT, aunque Microsoft recuerda que las versiones Server no están afectadas por FREAK en su configuración por defecto.

Fuente | ZDNet