O istnieniu błędu w SSL 3.0 i TLS 1.0 wiadomo było co najmniej od dekady - ale exploit, umożliwiający wykorzystanie owej luki do zaatakowania internautów pojawił się dopiero w ubiegłym tygodniu. Chodzi tu o BEAST (czyli Browser Exploit Against SSL/TLS) - narzędzie umożliwiające m.in. przechwycenie danych z zaszyfrowanych plików cookie (np. loginów i haseł do stron WWW).

Microsoft poinformował właśnie, że pracuje już nad poprawką, która zabezpieczy użytkowników Windows przed takim atakiem - aczkolwiek koncern nie podał na razie, na czym będzie polegać jej działanie i kiedy zostanie ona udostępniona. Przedstawiciele koncernu ograniczyli się do stwierdzenia, że użytkownicy dostaną ją, gdy "aktualizacja będzie spełniała wyśrubowane kryteria jakościowe Microsoftu". Dodajmy, że luka znajduje się we wszystkich wersjach Windows - od XP do Windows 7.

Zobacz również:

• Nearby Sharing od Google - wygodny sposób na przesyłanie plików
• Luka w zabezpieczeniach WordPress

Zdaniem specjalistów, raczej mało prawdopodobne jest, by koncern zdecydował się opublikować tę aktualizację poza swoim standardowym cyklem łatania produktów. Do tej pory nie odnotowano bowiem żadnych prób wykorzystania nowego exploita do atakowania użytkowników - wydaje się, że jeśli coś takiego nie nastąpi, to Microsoft wstrzyma się z udostępnieniem poprawki do drugiego wtorku października.

Pośrednio potwierdzają to zresztą pracownicy Microsoftu - którzy przyznają, że BEAST faktycznie może być skuteczny, ale jednocześnie zastrzegają, że na razie zagrożenie jest tylko teoretyczne.

Co ważne, istnieją stosunkowo proste metody tymczasowego zabezpieczenia się przed atakiem - jednym z niej jest zamknięcie wszystkich kart (poza aktywną) przed próbą wejścia na stronę wykorzystującą protokół SSL/TSL.

Koncern Google również zajął się tym problemem - firma udostępniła już pierwsze wersje swojej przeglądarki Chrome, które nie są podatne na atak (na razie są to wydania dev i beta - ale wkrótce również "podstawowy" Chrome ma zostać zabezpieczony). Przedstawiciele Mozilli twierdzą, że Firefox jest w znacznej mierze zabezpieczony przed atakiem - ponieważ dodatkowe mechanizmy obronne zastosowane w przeglądarce uniemożliwiają wykorzystanie BEAST. Jedynym potencjalnym sposobem przeprowadzeniu ataku na Firefoksa jest wykorzystanie pewnego błędu w Javie - dlatego też Mozilla zaleca użytkowników swojej przeglądarki wyłączenie obsługi Javy.