Identificada como Freak (Factoring RSA Export Keys) a falha foi descoberta por um grupo de investigadores recentemente. Afeta os sistemas de encriptação que têm por missão assegurar a comunicação segura numa ligação à Internet com um site HTTPS e existe desde a década de 90.
A Microsoft investigou a informação descoberta pelos investigadores e vem agora dizer que os protocolos de segurança usados no Windows são vulneráveis à mesma falha. Os protocolos em questão são o Secure Sockets Layer e o sucessor Transport Layer Security.



"A nossa investigação concluiu que a vulnerabilidade pode permitir a um atacante forçar o downgrade das suites de proteção usadas numa comunicação SSL/TLS num cliente Windows", admite uma nota, onde também se explica que esta falha de segurança é um problema da indústria e não uma questão específica da Microsoft.



A fabricante está a preparar uma correção para o problema, que pode ser integrada numa próxima edição do Patch Tuesday, ou ser disponibilizada de forma autónoma. As duas opções estão ainda em cima da mesa. Até lá recomenda a desativação dos códigos de exportação RSA.



O risco associado à falha em questão é o facto de esta poder forçar sites a usarem os protocolos de codificação de dados mais fracos, facilmente contornáveis e que por isso podem deixar toda a informação fornecida ou trocada com o site de um banco, ou de um serviço público, por exemplo, exposta a terceiros.



De acordo com os investigadores, o problema tem uma escala tão elevada porque até ao final da década de 90 os EUA obrigavam as empresas locais a não exportar produtos com os protocolos de encriptação de dados mais fortes. A medida já não está em vigor, mas a utilização de versões antigas dos protocolos de segurança e com a falha agora detetada continuam a fazer parte de produtos comercializados em todo o mundo. Até à data não foi identificado qualquer exploit para a vulnerabilidade.

Escrito ao abrigo do novo Acordo Ortográfico