IT之家訊 4月16日消息,微軟在4月補丁日更新中兌現了2月的承諾,正式關閉了IE11瀏覽器的SSL3.0協議。該協議會導致名為POODLE的漏洞問題,這一問題是在2014年發現的。
該漏洞可讓透過免費WiFi以及安全性較低的路由器用戶在使用瀏覽器上網時,遭受到中間人劫持、篡改與網站之間傳輸的敏感數據,或借機植入惡意代碼。
這個漏洞要發動需具備三個條件:瀏覽器及瀏覽的網站需支持SSL3.0,并在此漏洞的影響范圍;瀏覽器可執行Javascript;使用不安全或免費的Wifi、網絡服務。
在今年2月,微軟已經關閉了IE11保護模式網站的回退SSL3.0協議。這次更新后,IE11已經不再支持該協議,除非IT管理員需要,可以手動開啟。不過微軟強烈建議這些需要開啟這一協議的企業用戶,最好考慮選用TLS1.2等安全的協議來代替SSL3.0。
目前,Win10、Win8.1和Win7均支持IE11瀏覽器。還沒有升級到這一版本的用戶可以選擇升級到IE11,或者在Internet選項→高級中手動取消勾選“使用SSL3.0”來關閉該協議。
IT之家訊 6月10日消息,微軟于今日凌晨發布了本月例行安全更新,其中一枚編號為KB3058515的更新補丁為Win7/Win8.1系統中的IE11瀏覽器帶來了對HSTS的支持,使得其數據通信更安全。Win10中的Edge瀏覽器和IE11也已經支持HSTS。
HSTS,全稱HTTP Strict Transport Security,即HTTP嚴格傳輸安全。HSTS是一套由互聯網工程任務組發布的互聯網安全策略機制。網站可以選擇使用HSTS策略,來讓瀏覽器強制使用HTTPS與網站進行通信,以減少會話劫持風險。
HSTS可有效抵御SSL剝離攻擊(SSL剝離攻擊是中間人攻擊的一種),因為只要瀏覽器與服務器建立過一次安全連接,之后瀏覽器便會強制使用HTTPS進行通信,即使鏈接被人為替換為HTTP。另外,如果中間人使用自己的自簽名證書來進行攻擊,瀏覽器會給出警告,但是許多用戶會忽略警告。HSTS解決了這一問題,一旦服務器發送了HSTS字段,用戶將不再被允許忽略警告。
除此之外,KB3058515還修復了其他24項安全漏洞,主要為遠程執行代碼漏洞。詳情可參考微軟安全公告,。(via: Microsoft)