Con l’aggiornamento del patch tuesday di questo mese Microsoft corregge un problema di sicurezza molto serio di Secure Channel (Schannel), la sua libreria per la connessione sicura.
Schannel è per Microsoft quello che per l’open source si chiama OpenSSL e per Apple si chiama Secure Transport. In sostanza è quella serie di routine (libreria) che permette di stabilire connessioni sicure in HTTPS o TLS. Con l’annuncio della vulnerabilità di Schannel si può affermare che quest’anno ciascuna delle maggiori librerie HTTPS/TLS ha avuto dei problemi, con buona pace di chi crede di essere al sicuro per il fatto stesso di utilizzare una piattaforma piuttosto che un’altra.
Schannel è utilizzato dai client e dai server che stabiliscono o accettano connessioni sicure utilizzando le funzioni di sistema di Microsoft.
La vulnerabilità segnalata e corretta da Microsoft permette di eseguire codice arbitrario da remoto. In altre parole, un attaccante potrebbe eseguire dei programmi che vuole lui su un computer che utilizza Scannel per collegarsi ad un altro computer. I primi (ma non di certo gli unici) membri di questo insieme sono tutti i Windows che hanno un Internet Information Server esposto a Internet con HTTPS abilitato. A titolo di pro memoria, Exchange Server utilizza HTTPS per far connettere i client mobili. (altro…)