2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
微軟為Windows安排的安全更新包括修復(fù)一個(gè)潛在的危險(xiǎn)錯(cuò)誤,允許攻擊者欺騙一個(gè)證書(shū),使它看起來(lái)像是來(lái)自受信任的來(lái)源。該漏洞由安全局向微軟報(bào)告,影響Windows10、Windows Server2016、Windows Server2019和Windows Server1803版本。
微軟將此次更新評(píng)為“重要”而非“關(guān)鍵”。但在一篇博客文章中,微軟安全響應(yīng)中心(Micros of t Security Response Center)首席安全程序經(jīng)理梅切爾·格魯恩(Mechele Gruhn)解釋說(shuō),這是因?yàn)椤拔覀儧](méi)有看到它被用于主動(dòng)攻擊?!?/p>
然而,微軟以外的研究人員——包括谷歌的塔維斯·奧曼迪(Tavis Ormandy)——對(duì)漏洞的評(píng)估要糟糕得多,并敦促用戶在活躍的漏洞出現(xiàn)之前迅速修補(bǔ)漏洞。
會(huì)確認(rèn)所有的X。509驗(yàn)證失敗,不僅僅是代碼簽名。好吧,我又回到炒作的火車上了,這太糟糕了。https://t.co/6rBV1lu4Yk
——塔維斯·奧曼迪(@tavis o)2020年1月14日
漏洞在驗(yàn)證X的Windows密碼庫(kù)的組件中。509個(gè)證書(shū),不知何故繞過(guò)了用于驗(yàn)證證書(shū)的信任鏈。微軟關(guān)于該漏洞的咨詢稱,該漏洞可能被用來(lái)偽造惡意版本的應(yīng)用程序的軟件簽名證書(shū),使其看起來(lái)像是來(lái)自受信任的開(kāi)發(fā)人員。然而,風(fēng)險(xiǎn)不僅僅是代碼簽名。安全局的一項(xiàng)咨詢指出,該漏洞可用于針對(duì)安全HTTP(HT TPS)連接的中間人攻擊,以及欺騙簽名文件和電子郵件。
只要不使用Windows的證書(shū)驗(yàn)證,就有可能對(duì)使用檢查TLS流量的網(wǎng)絡(luò)設(shè)備的欺騙證書(shū)進(jìn)行網(wǎng)絡(luò)級(jí)保護(hù)。但安全局警告說(shuō),“快速采用補(bǔ)丁是目前唯一已知的緩解措施,應(yīng)該是所有網(wǎng)絡(luò)所有者的首要關(guān)注點(diǎn)?!?/p>
當(dāng)然,還有很多其他更緊迫的事情,我們知道-就像所有的Citrix和脈沖安全VPN,還沒(méi)有修復(fù)。
現(xiàn)在回到那些數(shù)百個(gè)未補(bǔ)丁的政府SSLVP N盒,這些盒子正在被積極地利用,并將您放在網(wǎng)絡(luò)中,并給您有效的憑據(jù)。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。