就下载 —— 安全下载、无毒手机软件、绿色软件官方下载网站最近更新|下载排行|热门标签|收藏本站

您现在的位置是:就下载 > IT资讯 > IT新观察 > 微软:联想Superfish的安全风险问题严重

上个月在联想海外用户中引发的Superfish安全问题给联想造成了很严重的负面影响,这款预装软件会给在2014年9月至2015年2月出售的联想电脑带来“中间人(MiTM)”攻击隐患。这是由于Superfish中包含一个带有安全漏洞的自签名根证书,该漏洞是安全隐患的根源,安全风险问题非常严重。

微软和联想正在联手通过他们的MAPP和VIA合作程序控制目前局面。Superfish使用一个名为Komodia的框架来安装一项网络驱动,作为“中间人”来解密和修改网络数据使得其包含额外的广告。

通常情况下,HTTPS浏览器回话会被保护,以防范“中间人”攻击。然而Superfish能够通过以下两种方式拦截并修改浏览器安全回话:

1、在本地安装一个不受限制的自签名根证书。

2、在Superfish嵌入一个私有的键来让HTTPS内容重新签名,这一过程是在修改浏览器回话并且添加根证书之后进行的。

从用户视角来看,HTTPS安全连接是有效的。然而修改过的Web内容已经被Superfish签名,取代了合法认证内容。

通过Komodia,Superfish为每台电脑安装了相同的公用根证书,并且在传输过程中嵌入了一个私有键来重新签名内容。这也意味着相应的私有键被用来给所有受影响用户的公知内容签名。这涉及到几项重要的安全启示,并且被归类于CVE-2015-2077漏洞之下。

这一事件可以扩展到Superfish以外所有涉及到Komodia框架的拦截SSL/TLS通讯的行为。不仅如此,使用相同SSL/TLS拦截方式的应用也已经被发现易受此类攻击,并且存在类似的信任相关漏洞。(Source:TechNet)

上一篇:驾考将增考科目五?真相在此

本文地址:IT新观察 >> http://www.9xz.net/it/xinguancha/47426.html

下一篇:“大哥别杀我”视频网络热传,恶搞有风险

  • 打印
推荐阅读
热门专题
推荐内容
热点内容