此安全更新程序修复了 Microsoft Windows 中的一个漏洞。如果攻击者在客户端和合法服务器之间执行中间人 (MiTM) 攻击,此漏洞可能导致欺骗。
对于 Microsoft Windows 的所有受支持版本(Windows 10 除外),此安全更新的等级为“重要”。通过添加扩展主密钥绑定支持到所有支持的传输层安全性 (TLS) 版本中,此安全更新消除了该漏洞。
More
[3,853]
MS15-055 Vulnerability in Schannel Could Allow Information Disclosure (3061518)
2015-05-16 |This security update resolves a vulnerability in Microsoft Windows. The vulnerability could allow information disclosure when Secure Channel (Schannel) allows the use of a weak Diffie-Hellman ephemeral (DFE) key length of 512 bits in an encrypted TLS session. Allowing 512-bit DHE keys makes DHE key exchanges weak and vulnerable to various attacks. A server needs to support 512-bit DHE key lengths for an attack to be successful; the minimum allowable DHE key length in default configurations of Windows servers is 1024 bits.
This security update is rated Important for all supported releases of Microsoft Windows.
More
[2,792]
MS15-031 Vulnerability in Schannel Could Allow Security Feature Bypass (3046049)
2015-03-14 |此安全更新可解决 Microsoft Windows 中利用公开披露的 FREAK 技术的漏洞,这一行业范围问题并不是 Windows 操作系统特有的。此漏洞可以允许中间人 (MiTM) 攻击者在 TLS 连接中强制将 RSA 密钥的密钥长度降级到 EXPORT 级长度。任何使用 Schannel 连接到带有不安全密码套件的远程 TLS 服务器的 Windows 系统均会受到影响。
对于 Microsoft Windows 的所有受支持版本,此安全更新的等级为“重要”。此安全更新可通过更正服务器密钥在服务器和客户端系统之间交换时使用的密码套件强制策略来解决此漏洞。
More
[3,827]
MS14-066 Vulnerability in Schannel Could Allow Remote Code Execution (2992611)
2014-11-12 |此安全更新可解决 Windows 中的 Microsoft 安全通道 (Schannel) 安全数据包中一个私下报告的漏洞。如果攻击者向 Windows Server 发送特殊设计的数据包,此漏洞可能允许远程执行代码。
对于 Microsoft Windows 所有受支持的版本,此安全更新的等级为“严重”。此安全更新可通过修正 Schannel 整理经特殊设计的数据包的方式来解决漏洞。
More
[3,528]
MS10-085 Vulnerability in SChannel Could Allow Denial of Service (2207566)
2010-10-16 |
此安全更新可解决 Windows 中的安全通道 (SChannel) 安全数据包中一个秘密报告的漏洞。 如果托管启用安全套接字层 (SSL) 的网站的受影响 Internet 信息服务 (IIS) 服务器收到了特制数据包信息,则此漏洞可能允许拒绝服务。 默认情况下,IIS 不配置为托管 SSL 网站。
对于 Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 的所有受支持版本,此安全更新的等级为“重要”。此安全更新通过更改 IIS 处理客户端证书申请的方式来消除此漏洞。
More
[3,054]
MS10-049 Vulnerabilities in SChannel Could Allow Remote Code Execution (980436)
2010-08-12 |此安全更新解决了 Windows 的安全通道 (SChannel) 安全软件包中一个公开披露的漏洞和一个秘密报告的漏洞。 如果用户访问设计为通过 Internet Web 浏览器利用这些漏洞的特制网站,较严重的漏洞可能允许远程执行代码。 但是在所有情况下,攻击者无法强制用户访问这些网站。 相反,攻击者必须说服用户访问该网站,方法通常是让用户单击电子邮件或 Instant Messenger 消息中的链接以使用户链接到攻击者的网站。
对于 Windows XP 和 Windows Server 2003 的所有受支持版本,此安全更新的等级为“严重”;对于 Windows Vista、Windows Server 2008、Windows 7 和 Windows Server 2008 R2 的所有受支持版本,此安全更新的等级为“重要”。通过对服务器返回的 SSL 响应实施 RFC 5746 和附加验证,此安全更新解决了漏洞问题。
More
[2,998]
MS09-007 Vulnerability in SChannel Could Allow Spoofing (960225)
2009-03-11 |此安全更新可解决 Windows 中的安全通道 (SChannel) 安全数据包中一个秘密报告的漏洞。 如果攻击者获得对最终用户用于身份验证的证书的访问,此漏洞可能允许欺骗。 只有当攻击者通过其他手段获得用于身份验证的证书公钥组件时,客户才会受到影响。
对于 Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista 和 Windows Server 2008 的所有受支持版本,此安全更新的等级为“重要”。
More