曝Windows安全通道出漏洞 影响微软多款产品

日前，微软Windows安全通道(Secure Channel，Schannel)被曝漏洞，微软在重大等级MS14-066信息安全公告中揭露了在Schannel中的远程代码执行漏洞(CNNVD-201411-136)。
受到漏洞影响的微软产品包括：

微软平板：Windows RT和Windows RT 8.1。

个人端操作系统：Windows VistaSP2、Windows 7 SP1、Windows 8到Windows 8.1

服务器操作系统：Windows Server 2003 SP2、2008 SP2、2008 R2 SP1、2012到2012 R2
据称，黑客可以构造特定的数据包在Schannel中远程执行恶意代码，并借此漏洞入侵系统。因为Schannel是Windows实现SSL/TLS协议的组件之一，所以CNNVD-201411-136漏洞就像是OpenSSL中的Heartbleed漏洞(CNNVD-201404-073)危害巨大。

安全工程经理Ross Barrett表示，目前CNNVD-201411-136漏洞的影响还不大，如果攻击代码泄漏，该漏洞将会成为严重的问题，且影响会扩大。

目前，微软也尚未接到有关该漏洞已公开用来攻击用户的消息，而微软在官网也表示，此安全更新可以更正Schannel清理特定封包的方式，进而消除此项安全风险。
拓展阅读：

什么是OpenSSL Heartbleed漏洞

OpenSSL Heartbleed漏洞在互联网又称为“heartbleed bug”，中文名称叫做“心脏出血”、“击穿心脏”等。Heartbleed漏洞的产生是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容，这样一来受害者的内存内容就会以每次64KB的速度进行泄露。
OpenSSL Heartbleed漏洞发现

Heartbleed漏洞是由安全公司Codenomicon和谷歌安全工程师发现的，并提交给相关管理机构，随后官方很快发布了漏洞的修复方案。
OpenSSL Heartbleed入侵原理

SSL协议是使用最为普遍网站加密技术，而OpenSSL则是开源的SSL套件，为全球成千上万的web服务器所使用。Web服务器正是通过它来将密钥发送给访客然后在双方的连接之间对信息进行加密。URL中使用https打头的连接都采用了SSL加密技术。在线购物、网银等活动均采用SSL加密技术来防止窃密及避免中间人攻击。

Heartbleed漏洞之所以得名，是因为用于安全传输层协议(TLS)及数据包传输层安全协议(DTLS)的 Heartbeat扩展存在漏洞。Heartbeat扩展为TLS/DTLS提供了一种新的简便的连接保持方式，但由于OpenSSL 1.0.2-beta与OpenSSL 1.0.1在处理TLS heartbeat扩展时的边界错误，攻击者可以利用漏洞披露连接的客户端或服务器的存储器内容，导致攻击者不仅可以读取其中机密的加密数据，还能盗走用于加密的密钥。
OpenSSL Heartbleed防范措施

建议服务器管理员或使用1.0.1g版，或使用-DOPENSSL_NO_HEARTBEATS选项重新编译OpenSSL，从而禁用易受攻击的功能，直至可以更新服务器软件。

更多关于OpenSSL Heartbleed漏洞以及SSL加密技术相关问题请访问沃通EV SSL证书网技术支持和基础知识栏目，也可在线咨询客服了解更多SSL加密技术!