Freak漏洞攻擊上億微軟PC用戶當心受害

微軟公司（Microsoft Corp）警告，上億名Windows個人電腦（PC）用戶要當心最近發現的「Freak」安全漏洞攻擊，剛開始據信這個漏洞只對行動裝置和蘋果Mac電腦造成威脅。

路透社報導，9名安全專家組成的團隊3日揭露普遍存在的網路加密技術，會讓搭載蘋果公司（Apple Inc）iOS和Mac作業系統的裝置，以及谷歌公司（GoogleInc）Android瀏覽器易受到網路攻擊。

微軟昨天發布資安報告警告客戶，他們的個人電腦也有「Freak」安全漏洞。

這種漏洞蓄意讓網路伺服器配置使用的加密技術變弱，遵守美國政府禁止出口最強加密的規則，使與網路伺服器連結的個人電腦遭受攻擊。

3日發現此威脅的研究員表示，如果駭客攻擊成功，他們就可以監聽及在個人電腦散播惡意軟體。

FREAK出口金鑰漏洞影響擴大，Windows全部版本都受波及

微軟於本周四（3/5）發布的資安通告證實，Windows平台也受到FREAK（Factoring RSA Export Keys）漏洞的影響，可能會緊急修補或是經由每月的例行性更新釋出修補程式，建議使用者暫時關閉RSA的出口金鑰功能。

此一編號為CVE-2015-0204的漏洞存在於多個OpenSSL版本中，肇因於OpenSSL用戶端會在非出口RSA金鑰的密碼交換中接受一個暫時的出口金鑰，而降低了此一交易期間的安全等級，可能因此造成中間人攻擊，允許駭客攔截用戶端與伺服器端的通訊。OpenSSL為一建置SSL及TLS加密協定的開放原碼專案，被廣泛應用在各種作業系統中，包含Linux、Mac OS X與Windows等。

微軟的調查發現，此一漏洞繞過了Windows上的「安全通道」（Secure Channel, Schannel）安全機制，允許駭客執行中間人攻擊，在Windows用戶端系統上執行SSL/TLS連結時強迫降級所使用的密碼套件，影響所有支援Schannel的Windows版本，涵蓋Windows Vista/7/8/8.1/RT及Windows Server 2003/2008等。

微軟還強調，此一漏洞並非專屬於Windows作業系統，而是牽涉到整個IT產業。

整個IT產業？既然是「美國政府要求不得採用太強的加密技術」當然就全部通通有獎！