Windows10中的錯誤也影響Chrome瀏覽器

Windows 10中發(fā)現(xiàn)的NSA漏洞不僅會影響Microsoft操作系統(tǒng)，而且還會影響Microsoft操作系統(tǒng)。它還可以幫助掩蓋在Google Chrome瀏覽器上的黑客攻擊嘗試。

從周三開始，安全研究人員開始演示如何使用Windows 10漏洞CVE-2020-0601欺騙Chrome上官方網(wǎng)站域的受信任數(shù)字證書。

一位專家Saleem Rashid通過欺騙NSA.gov網(wǎng)站的SSL證書來做到這一點，該證書最早由Ars Technica報告。由于存在此漏洞，因此Google的瀏覽器會在虛假的情況下錯誤地將證書解釋為有效。

最大的限制是Chrome嚴格的證書策略，必須緩存根CA，您可以通過訪問使用證書pic.twitter.com/GgftwVvpY8的合法站點來觸發(fā)

Kudelski Security的Yolan Romailler告訴PCMag，發(fā)生誤讀的原因是Chrome瀏覽器依賴Windows 10的CryptoAPI來驗證證書。不幸的是，相同的API在審查橢圓曲線密碼學時存在嚴重的錯誤。微軟周二警告說，您實際上可以操縱證書來欺騙該系統(tǒng)，使它認為它是真實的，并且來自受信任的來源。

這使包括安全局官員在內(nèi)的安全專家感到震驚。該漏洞以不正確的方式使用可能會幫助黑客創(chuàng)建具有官方外觀的網(wǎng)站，而實際上，這些網(wǎng)站被設(shè)計為竊取您的信息。Romailler創(chuàng)建了一個概念驗證，任何人都可以訪問以查看操作中的漏洞。PCMag使用一臺易受攻擊的Windows 10計算機進行了嘗試，該演示確實可以在Chrome和Microsoft的Edge瀏覽器上運行，但不能在Firefox上運行，而Firefox在加載測試站點時將顯示連接錯誤。