Israelske forskere fandt forleden en svaghed i den algoritme, der genererer tilfældige tal i Windows 2000. Den såkaldte pseudo-random number generator (PRNG) bruges i forbindelse med krypteringsnøgler og fejlen kan betyde, at det bliver lettere for en angriber at bryde krypteringen.
Microsoft bekræfter nu, at fejlen findes i Windows 2000 og det nyere Windows XP. Men der er uenighed om, hvor alvorlig problemet er. Microsoft mener at risikoen er begrænset og vil først rette fejlen i Service Pack 3 til Windows XP, der kommer til næste år.
For at udnytte fejlen skal angriberen have adgang til den lokale computer - f.eks. ved at bryde ind over nettet og installere et spionprogram. Derefter kan angriberen gætte sig til krypterings-nøglerne og lytte med i den krypterede kommunikation - f.eks. SSL-forbindelser til netbanker.
Det kræver dog at angriberen har administrative rettigheder på systemet. Og i så fald vil angriberen allerede have fuld adgang til alle filer på systemet, så Microsoft vurderer, at der kun er tale om et teoretisk problem.
Windows Vista, Windows Server 2003 og det kommende Windows Server 2008 bruger en anden algoritme, som ikke er sårbar, ifølge Microsoft.
Premium
Kritisk CVE-databasen om sikkerhed reddet i allersidste øjeblik - ny bevilling godkendt