2014年4月8日,安全研究人员披露了OpenSSL加密软件库中存在重大缺陷,该漏洞被命名为「Heartbleed」,可能允许攻击者利用通信加密密钥访问网站用户数据。
经深入调查,微软确认以下服务不受此漏洞影响:
- Microsoft账户
- Microsoft Azure
- Office 365
- Yammer
- Skype
技术细节补充:
- 所有2014年4月14日前受支持的Windows版本均内置免疫机制
- Windows系统默认使用Schannel组件实现SSL/TLS协议栈(而非OpenSSL),具体技术说明参见《Information about HeartBleed and IIS》
用户安全建议: 微软始终建议用户定期更新复杂密码,相关指南可参考安全中心的密码强度检查工具。
2014年4月22日更新说明:
- 补注1:涵盖当时所有受支持的Windows版本
- 补注2:微软产品默认采用Windows原生Schannel实现,与OpenSSL实现存在架构级差异