به روز رسانی چارچوب كاری NET. توسط مایكروسافت
شركت مایكروسافت به مشتریان توصیه می كند تا استفاده از رمزگذاری RC4 در ارتباطات TLS را متوقف کنند زیرا ضعفهایی در این الگوریتم شناسایی شده است.
به گزارش دریچه فناوری اطلاعات باشگاه خبرنگاران؛ روز سه شنبه شركت مایكروسافت چندین به روز رسانی امنیتی اختیاری را برای چندین نسخه از چارچوب كاری .NET منتشر كرده است. نسخه های به روز رسانی شده مانع استفاده از الگوریتم رمزگذاری RC4 در ارتباطات TLS می شود. این به روز رسانی ها تنها از طریق Windows Update Catalog و Microsoft Download Center در دسترس می باشند و از طریق سیستم به روز رسانی ویندوز اعمال نمی شوند. RC4 در سال 1987 توسط Ronald Rivest اختراع شد و با وجود
ضعف هایی در پیاده سازی آن، در طول سالیان به عنوان یكی از محبوب ترین
الگوریتم های رمزگذاری مورد استفاده قرار گرفته است.
تا سال گذشته، استفاده از RC4 در ارتباطات TLS به عنوان یك روش امن به حساب می آمد. با این حال، در مارس سال 2013 گروهی از محققان حملاتی را كه می تواند علیه رمزگذاری RC4 در TLS مورد استفاده قرار گیرد، شناسایی كردند. در ماه نوامبر شركت مایكروسافت یك به روز رسانی برای ویندوز 7، ویندوز 8، ویندوز RT، ویندوز سرور 2008 R2 و ویندوز سرور 2012 منتشر كرد كه به ادمین ها اجازه می داد تا با استفاده از تنظیمات رجیستری پشتیبانی از RC4 را غیرفعال نمایند. به روز رسانی اختیاری كه روز سه شنبه منتشر شده است نیز همین كار را برای چارچوب كاری .NET انجام می دهد.
شركت مایكروسافت در راهنمایی امنیتی روز سه شنبه خود آورده است كه استفاده از RC4 در TLS می تواند به مهاجمی اجازه دهد تا حملات man-in-the-middle را انجام دهد و متن های ساده را از نشست های رمزگذاری شده استخراج کند. در حالی كه مسدود نمودن RC4 پیشنهاد می شود، شركت مایكروسافت اعلام كرد كه مشتریان باید برنامه ای برای تست تنظیمات جدید قبل از اعمال آن در محیط شبكه داشته باشند.
در آزمایشی كه در ماه نوامبر توسط شركت مایكروسافت انجام گرفت مشخص شد كه 43 درصد از وب سایت های HTTPS رمزگذاری RC4 را در پیكربندی خود اولویت بندی كرده اند اما تنها 4 درصد از آن ها استفاده از این روش را یك الزام در نظر گرفته اند. این بدان معنی است كه مرورگرها و سایر برنامه های كاربردی كه به عنوان یك كلاینت RC4 عمل می كنند می توانند هنگام مذاكره برای ارتباطات TLS، یك روش رمزگذاری متفاوت را انتخاب کنند.
منبع: مرکز ماهر
تا سال گذشته، استفاده از RC4 در ارتباطات TLS به عنوان یك روش امن به حساب می آمد. با این حال، در مارس سال 2013 گروهی از محققان حملاتی را كه می تواند علیه رمزگذاری RC4 در TLS مورد استفاده قرار گیرد، شناسایی كردند. در ماه نوامبر شركت مایكروسافت یك به روز رسانی برای ویندوز 7، ویندوز 8، ویندوز RT، ویندوز سرور 2008 R2 و ویندوز سرور 2012 منتشر كرد كه به ادمین ها اجازه می داد تا با استفاده از تنظیمات رجیستری پشتیبانی از RC4 را غیرفعال نمایند. به روز رسانی اختیاری كه روز سه شنبه منتشر شده است نیز همین كار را برای چارچوب كاری .NET انجام می دهد.
شركت مایكروسافت در راهنمایی امنیتی روز سه شنبه خود آورده است كه استفاده از RC4 در TLS می تواند به مهاجمی اجازه دهد تا حملات man-in-the-middle را انجام دهد و متن های ساده را از نشست های رمزگذاری شده استخراج کند. در حالی كه مسدود نمودن RC4 پیشنهاد می شود، شركت مایكروسافت اعلام كرد كه مشتریان باید برنامه ای برای تست تنظیمات جدید قبل از اعمال آن در محیط شبكه داشته باشند.
در آزمایشی كه در ماه نوامبر توسط شركت مایكروسافت انجام گرفت مشخص شد كه 43 درصد از وب سایت های HTTPS رمزگذاری RC4 را در پیكربندی خود اولویت بندی كرده اند اما تنها 4 درصد از آن ها استفاده از این روش را یك الزام در نظر گرفته اند. این بدان معنی است كه مرورگرها و سایر برنامه های كاربردی كه به عنوان یك كلاینت RC4 عمل می كنند می توانند هنگام مذاكره برای ارتباطات TLS، یك روش رمزگذاری متفاوت را انتخاب کنند.
منبع: مرکز ماهر
• همراه وبگردی ٢٠:٣٠ باشید
