科技网

当前位置: 首页 >自媒体

Windows发现高危漏洞安检机制形同虚

自媒体
来源: 作者: 2019-05-16 20:59:09

黄瓜肉松卷的做法
斗鱼tv直播童颜巨乳斗鱼TV篮球主播秋末
腾讯135亿元增持页游开发商游戏谷估值8

Windows发现高危漏洞 安检机制形同虚设发表时间:2002/9/7 来源:日经BP社关键字: 日本微软9月5日宣布,所有WindowsOS均存在可让捏造者进入的安全漏洞。由于Windows无法检测出伪造的数字证书,因此当有人使用S/MIME接受捏造的署名邮件,或利用SSL访问伪造的Web站点时,Windows上的运用将不会发出警告。在InternetExplorer(IE)forMac、OfficeforMac和OutlookExpressforMac中也存在同样的安全漏洞。最大严重程度为“高”,解决办法是安装补丁。

此次安全漏洞的缘由在于WindowsOS中的“CryptoAPI”存在缺点。CryptoAPI的作用是在Windows上实现加密、解密和署名功能。由于在具体的嵌入方面存在瑕疵,因此有可能将使用某种特殊方法伪造的数字证书当作正确的证书处理。Mac中尽管不包括CryptoAPI,但由于IE/Office/OutlookExpressforMac均存在同样问题,因此也会遭到影响。

数字证书由CA(CertificateAuthority,认证授权机构)发行给用户(终端实体)。CA的作用是证明包含在数字证书中的公然密钥信息确切属于拥有该邮件地址(URL)的用户(Web站点)等。

目前所用的数字证书规格(X.509V.3)可以对上述“证明”进行分层处理。具体而言,如果CA1证明CA2,而CA2证明暮光男分手!帕丁森与女友解除6个月婚约
用户1,那么CA1则证明用户1(此时,CA1称根CA,CA2称为下层证书)。不过,在分层证明时,由于在数字证书中明确标注有具体流程,因此从CA1得到证明的攻击者即使假装成下层CA制作出证明他人的数字证书,也会被立刻识破山东农业厅副厅长周占升:保护品牌茶叶
(IE和OutlookExpress等应用程序可在认可该证书之前发出正告)。

但是,由于CryptoAPI的嵌入方面存在缺陷,因此WindowsOS以及IEforMac等软件其实不检测记述有证明是否分层被履行的部分(“BasicConstraints”区)。因此证书中伪造的根CA如果是事先注册到应用程序上的CA,那末应用程序就会不发出正告而将其认可。

因此攻击者就有可能以他人的名义发送数字署名邮件,或者构筑假装成其他值得信赖的站点的SSL站点,或者在ActiveX控件上进行伪装署名(不过,各种攻击都有多种前提条件和限制,详细情况请参阅美国微软发布的信息)。

五色豆效不同

解决的办法是安装补丁。不过,目前(9月5日19点)只公布了WindowsNT4.0和XP的补钉。由于此次的安全漏洞相当严重,因此希望NT及XP以外的用户随时登录微软站点及WindowsUpdate,一旦公布,立即安装。

据美国微软公布的信息称,由于攻击方法(代码)已经被公开,因此虽然还未完成所有的补钉,但也已开始陆续公开。据说,某邮件列表已介绍了伪造其他用户证书的方法。

6个月宝宝发烧怎么办
小儿发烧怎么办 怎样退烧快
九个月宝宝发烧怎么办

相关推荐