微軟在知識文庫里針對上周的MS14-066更新發(fā)出警告。微軟還提供了一個解決問題的方法,微軟不建議用戶避免或卸載MS14-066更新。
MS14-066更新修復(fù)Schannel中至少一個嚴(yán)重漏洞。Schannel是微軟版SSL/ TLS加密套件。坊間廣泛認(rèn)為MS14-066更新十分重要。筆者上周敦促過用戶盡早安裝MS14-066更新。
而有些用戶在安裝MS14-066更新時碰到嚴(yán)重問題。其問題是系統(tǒng)在默認(rèn)情況下會啟用TLS 1.2,進(jìn)而導(dǎo)致TLS協(xié)議的協(xié)商失敗。根據(jù)微軟的資料,發(fā)生這種情況時,“TLS 1.2連接會掉線,相關(guān)程序的過程會掛起(停止響應(yīng)),服務(wù)或會間歇性地?zé)o反應(yīng)。”系統(tǒng)事件日志里可能出現(xiàn)一條記錄,事件ID為36887,其描述為“從遠(yuǎn)程端點接收了一個致命的警報。TLS協(xié)議中定義的致命警報代碼為40。”
MS14-066更新中除了包括安全更新外,還加入了一些新的功能:TLS用的四個加密系統(tǒng)。這些加密系統(tǒng)是問題的原因所在。要解決問題,做法是刪除四個新加密系統(tǒng):
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_128_GCM_SHA256TLS_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_128_GCM_SHA256
至于刪除的具體步驟,請參閱知識庫文章。
有關(guān)MS14-066更新目前還有很多不清楚的地方。微軟和其他處于特別位置的人士提供了各種說明,稱該更新修復(fù)了一個漏洞或幾個漏洞,一說漏洞是由外界向微軟報告的,也有說漏洞是通過內(nèi)部測試發(fā)現(xiàn)的。另外,安全公告里亦無提供太詳細(xì)的東西,只是說不存在減緩因素(Mitigating factor)。
筆者謹(jǐn)向SANS研究所的互聯(lián)網(wǎng)風(fēng)暴中心致意。