Microsoft Security Advisory 3155527
Update to Cipher Suites for FalseStart
发布日期: 2016年5月10日
版本: 1.0
执行摘要
FalseStart允许TLS客户端在接收和验证服务器Finished消息之前发送应用程序数据。这可能使攻击者发起中间人(MiTM)攻击,强制TLS客户端使用攻击者从客户端列表中选择的密码套件来加密第一批application_data记录。为避免降级攻击,TLS客户端仅在其最强密码套件被协商时才允许使用FalseStart。
本公告更新提供了可与FalseStart一起使用的密码套件列表的例行维护。此更新对连接性或互操作性没有影响。
有关其他详细信息和部署指南,请参阅Microsoft知识库文章3155527。
受影响软件
| 操作系统 |
|---|
| Windows 8.1 32位系统 |
| Windows 8.1 x64系统 |
| Windows Server 2012 |
| Windows Server 2012 R2 |
| Windows RT 8.1 |
| Windows 10 32位系统 |
| Windows 10 x64系统 |
| Windows 10版本1511 32位系统 |
| Windows 10版本1511 x64系统 |
| 服务器核心安装选项 |
| Windows Server 2012(服务器核心安装) |
| Windows Server 2012 R2(服务器核心安装) |
公告常见问题解答
此公告的范围是什么?
宣布可用于FalseStart的密码套件列表更新已可用。
此更新有什么作用?
该更新提供了可与FalseStart一起使用的最新密码套件列表。此更新对连接性或互操作性没有影响。
致谢
Microsoft认可安全社区中那些通过协调漏洞披露帮助我们保护客户的成员所做的努力。有关更多信息,请参阅致谢。
其他信息
Microsoft主动保护计划(MAPP)
为了改善客户的安全保护,Microsoft在每个月度安全更新发布之前向主要安全软件提供商提供漏洞信息。然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒软件、基于网络的入侵检测系统或基于主机的入侵防御系统)向客户提供更新的保护。要确定是否有来自安全软件提供商的活动保护,请访问计划合作伙伴提供的活动保护网站,这些网站列在Microsoft主动保护计划(MAPP)合作伙伴中。
反馈
您可以通过填写Microsoft帮助和支持表单、客户服务联系我们来提供反馈。
支持
美国和加拿大的客户可以从安全支持获得技术支持。有关更多信息,请参阅Microsoft帮助和支持。国际客户可以从当地的Microsoft子公司获得支持。有关更多信息,请参阅国际支持。Microsoft TechNet安全提供了有关Microsoft产品中安全的其他信息。
免责声明
本公告中提供的信息"按原样"提供,不作任何明示或暗示的担保。Microsoft否认所有明示或暗示的担保,包括适销性和特定用途适用性的担保。在任何情况下,Microsoft Corporation或其供应商均不对任何损害承担任何责任,包括直接、间接、附带、后果性、商业利润损失或特殊损害,即使Microsoft Corporation或其供应商已被告知可能发生此类损害。某些州不允许排除或限制附带或后果性损害的责任,因此上述限制可能不适用。
修订版本
V1.0(2016年5月10日):公告发布。
页面生成时间:2016年5月4日 10:20-07:00。