انتشار به روز رسانی RC4 برای NET.

نسخه های به روز رسانی شده مانع استفاده از الگوریتم رمزگذاری RC4 در ارتباطات TLS می شود. این به روز رسانی ها تنها از طریق Windows Update Catalog و Microsoft Download Center در دسترس می باشند و از طریق سیستم به روز رسانی ویندوز اعمال نمی شوند.

RC4 در سال ۱۹۸۷ توسط Ronald Rivest اختراع شد و با وجود ضعف هایی در پیاده سازی آن، در طول سالیان به عنوان یكی از محبوب ترین الگوریتم های رمزگذاری مورد استفاده قرار گرفته است. تا سال گذشته، استفاده از RC4 در ارتباطات TLS به عنوان یك روش امن به حساب می آمد. با این حال، در مارس سال ۲۰۱۳ گروهی از محققان حملاتی را كه می تواند علیه رمزگذاری RC4 در TLS مورد استفاده قرار گیرد، شناسایی كردند.

در ماه نوامبر شركت مایكروسافت یك به روز رسانی برای ویندوز ۷، ویندوز ۸، ویندوز RT، ویندوز سرور 2008 R2 و ویندوز سرور ۲۰۱۲ منتشر كرد كه به ادمین ها اجازه می داد تا با استفاده از تنظیمات رجیستری پشتیبانی از RC4 را غیرفعال نمایند. به روز رسانی جدید نیز همین كار را برای چارچوب كاری NET. انجام می دهد.

شركت مایكروسافت اعلام داشت كه استفاده از RC4 در TLS می تواند به مهاجم اجازه دهد تا حملات man-in-the-middle را انجام دهد و متن های ساده را از نشست های رمزگذاری شده استخراج نماید. در حالی كه مسدود نمودن RC4 پیشنهاد می شود، شركت مایكروسافت در ادامه اضافه کرد كه مشتریان باید برنامه ای برای تست تنظیمات جدید قبل از اعمال آن در محیط شبكه داشته باشند.

در آزمایشی كه در ماه نوامبر مایكروسافت آن را انجام داد مشخص گردید كه ۴۳ درصد از وب سایت های HTTPS رمزگذاری RC4 را در پیكربندی خود اولویت بندی كرده اند اما تنها ۴ درصد از آن ها استفاده از این روش را یك الزام در نظر گرفته اند. این بدان معنی است كه مرورگرها و سایر برنامه های كاربردی كه به عنوان یك كلاینت RC4 عمل می كنند می توانند هنگام مذاكره برای ارتباطات TLS، یك روش رمزگذاری متفاوت را انتخاب نمایند.