你好,
>>漏洞1:SSL 3.0 POODLE攻击信息泄露漏洞
在 Internet Explorer 中禁用 SSL 3.0 并启用 TLS 1.0、TLS 1.1 和 TLS 1.2
您可以通过修改 Internet Explorer 中的“高级安全设置”以在 Internet Explorer 中禁用 SSL 3.0 协议。
要更改用于 HTTPS 请求的默认协议版本,请执行以下步骤:
在 Internet Explorer 的“工具”菜单上,单击“Internet选项”。
在“Internet选项”对话框中,单击“高级”选项卡。
在“安全”类别中,取消选中“使用SSL3.0”并选中“使用 TLS 1.0”、“使用 TLS 1.1”和“使用 TLS 1.2”(如果可用)。
注意 选中连续版本非常重要。不选择连续版本(如勾选了 TLS 1.0 和 1.2 但未勾选 1.1)可能导致连接错误。
单击“确定”。
退出,然后重新启动 Internet Explorer。
注意 在应用此变通方法之后,Internet Explorer 将无法连接到仅支持 SSL 3.0 且不支持 TLS 1.0、TLS 1.1 和 TLS 1.2 的 Web 服务器。
更多关于CVE-2014-3566的信息,请参考下面微软的安全公告:
>>漏洞2:SSLTLS 受诫礼(BAR-MITZVAH)攻击漏洞
SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,和其他敏感信息泄露。
根据微软的建议是禁用RC4
关闭RC4的补丁的下载地址如下,请下载对应版本。
Please remember to mark the replies as answers if they help and unmark them if they provide no help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.