精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當(dāng)前位置:安全企業(yè)動(dòng)態(tài) → 正文

戴爾修復(fù)根證書:你想到Superfish了嗎?

責(zé)任編輯:editor005 作者:Michael Heller |來源:企業(yè)網(wǎng)D1Net  2015-12-02 14:21:22 本文摘自:TechTarget中國

戴爾迅速采取行動(dòng)修復(fù)了其電腦中的根級證書問題,這個(gè)問題與Superfish類似,因?yàn)樗赡茉试S攻擊者攔截加密的個(gè)人數(shù)據(jù)。

戴爾電腦被發(fā)現(xiàn)預(yù)裝了eDellRoot證書和私鑰,更糟的是,所有戴爾筆記本電腦都裝有這種證書。

SANS技術(shù)研究院長Johannes Ullrich表示,eDellRoot證書作為受信任的根級證書頒發(fā)機(jī)構(gòu)(CA),并且戴爾提供了密鑰,這幾乎允許任何人創(chuàng)建簽名和驗(yàn)證的證書。

“我可以為Google.com創(chuàng)建證書,使用戴爾密鑰簽名,然后所有受影響戴爾筆記本都會(huì)信任我的證書,”Ullrich表示,“這也可能用于簽名軟件,因?yàn)樵揅A被定義為可用于任何目的,而有些CA只可用于專門目的。”

這個(gè)eDellRoot證書非常危險(xiǎn),該文件在系統(tǒng)重啟后都會(huì)重新安裝自身,除非用戶以特定方式移除它。

今年早些時(shí)候,聯(lián)想電腦被發(fā)現(xiàn)預(yù)裝了Superfish廣告軟件。該Superfish證書由Superfish簽名和控制,所以它可以注入廣告到聯(lián)想電腦。然而,Superfish還會(huì)安裝自簽名的根級HTTPS證書,可攔截用戶訪問的每個(gè)網(wǎng)站的加密流量。

根據(jù)Tripwire公司安全研究人員Craig Young表示,Superfish或eDellRoot等根級證書破壞了證書頒發(fā)機(jī)構(gòu)建立的信任鏈。

“SSL依靠信任網(wǎng)絡(luò),這包括各大證書頒發(fā)機(jī)構(gòu)以及各個(gè)網(wǎng)站,”Young解釋說,“當(dāng)遠(yuǎn)程服務(wù)器提供受信任證書頒發(fā)機(jī)構(gòu)簽署的安全證書時(shí),Web瀏覽器和其他系統(tǒng)軟件會(huì)認(rèn)為連接是專用連接。如果受信任CA的公鑰和私鑰被攻擊者獲知,他們可能可以攔截所有專用通信。”

Young表示,通過這種根級證書實(shí)現(xiàn)的中間人攻擊可能給用戶帶來巨大風(fēng)險(xiǎn)。

“如果受害者計(jì)算機(jī)信任假的CA,攻擊者可以竊取密碼、cookies、信用卡號碼,甚至用惡意軟件取代下載的軟件或更新,”Young表示,“通常情況下,這種類型的攻擊會(huì)導(dǎo)致瀏覽器彈出插播式廣告,例如紅色的X警告用戶即將出現(xiàn)的危險(xiǎn)。攻擊者可以生成讓受害者計(jì)算機(jī)信任的證書,這完全破壞了HTTPS和其他基于SSL服務(wù)提供的保護(hù)。”

Young甚至創(chuàng)建了測試頁面,讓用戶來測試其系統(tǒng)是否受感染。如果在點(diǎn)擊鏈接后計(jì)算機(jī)沒有顯示警告頁面,這意味著該系統(tǒng)信任eDellRoot證書。

戴爾已經(jīng)迅速采取行動(dòng)發(fā)布了指南和自動(dòng)工具來幫助用戶刪除該證書,并且還試圖解釋了為什么這種證書會(huì)預(yù)裝在其設(shè)備中。

“該證書并非惡意軟件或廣告軟件,它的目的是向戴爾在線支持提供服務(wù)標(biāo)簽,讓我們可以快速識(shí)別計(jì)算機(jī)型號,讓我們更方便更快捷地為廣大客戶提供服務(wù),”戴爾發(fā)言人Laura P. Thomas在博客中寫道,“該證書沒有被用來收集客戶個(gè)人信息,同樣需要指出的是,該證書在使用推薦的戴爾程序正確刪除后不會(huì)重新安裝。”

Ixia公司應(yīng)用和威脅情報(bào)主管Steve McGregory贊揚(yáng)戴爾在初步報(bào)告發(fā)出的24小時(shí)內(nèi)發(fā)布了修補(bǔ)程序。

“他們?nèi)匀挥写罅康墓P(guān)工作要做,他們必須向其客戶說明他們?nèi)绾螌徍撕涂刂祁A(yù)裝應(yīng)用程序以重新獲得客戶的信任,”McGregory表示,“主要的問題是,很多人在購買計(jì)算機(jī)后不知道他們電腦中安裝了根級CA,我不知道戴爾將如何全面修復(fù)這個(gè)問題。”

Ullrich在援引戴爾聲明中的“停止出血”的說法時(shí)稱,這種情況本來就不應(yīng)該發(fā)生。

“從本質(zhì)上來講,他們創(chuàng)建了一個(gè)巨大的后門,這可能被其他人利用。這類似于使用默認(rèn)用戶名和密碼增加了一個(gè)支持管理員賬戶。雖然戴爾可能不會(huì)用它來下載用戶的機(jī)密文件,但其他人可能會(huì)這樣做,”Ullrich表示,“我還沒有看到戴爾對受影響客戶的任何積極接觸,這些證書需要盡快移除,以避免任何惡意軟件可能利用該問題而制造額外的破壞。”

關(guān)鍵字:superfishTripwire

本文摘自:TechTarget中國

x 戴爾修復(fù)根證書:你想到Superfish了嗎? 掃一掃
分享本文到朋友圈
當(dāng)前位置:安全企業(yè)動(dòng)態(tài) → 正文

戴爾修復(fù)根證書:你想到Superfish了嗎?

責(zé)任編輯:editor005 作者:Michael Heller |來源:企業(yè)網(wǎng)D1Net  2015-12-02 14:21:22 本文摘自:TechTarget中國

戴爾迅速采取行動(dòng)修復(fù)了其電腦中的根級證書問題,這個(gè)問題與Superfish類似,因?yàn)樗赡茉试S攻擊者攔截加密的個(gè)人數(shù)據(jù)。

戴爾電腦被發(fā)現(xiàn)預(yù)裝了eDellRoot證書和私鑰,更糟的是,所有戴爾筆記本電腦都裝有這種證書。

SANS技術(shù)研究院長Johannes Ullrich表示,eDellRoot證書作為受信任的根級證書頒發(fā)機(jī)構(gòu)(CA),并且戴爾提供了密鑰,這幾乎允許任何人創(chuàng)建簽名和驗(yàn)證的證書。

“我可以為Google.com創(chuàng)建證書,使用戴爾密鑰簽名,然后所有受影響戴爾筆記本都會(huì)信任我的證書,”Ullrich表示,“這也可能用于簽名軟件,因?yàn)樵揅A被定義為可用于任何目的,而有些CA只可用于專門目的。”

這個(gè)eDellRoot證書非常危險(xiǎn),該文件在系統(tǒng)重啟后都會(huì)重新安裝自身,除非用戶以特定方式移除它。

今年早些時(shí)候,聯(lián)想電腦被發(fā)現(xiàn)預(yù)裝了Superfish廣告軟件。該Superfish證書由Superfish簽名和控制,所以它可以注入廣告到聯(lián)想電腦。然而,Superfish還會(huì)安裝自簽名的根級HTTPS證書,可攔截用戶訪問的每個(gè)網(wǎng)站的加密流量。

根據(jù)Tripwire公司安全研究人員Craig Young表示,Superfish或eDellRoot等根級證書破壞了證書頒發(fā)機(jī)構(gòu)建立的信任鏈。

“SSL依靠信任網(wǎng)絡(luò),這包括各大證書頒發(fā)機(jī)構(gòu)以及各個(gè)網(wǎng)站,”Young解釋說,“當(dāng)遠(yuǎn)程服務(wù)器提供受信任證書頒發(fā)機(jī)構(gòu)簽署的安全證書時(shí),Web瀏覽器和其他系統(tǒng)軟件會(huì)認(rèn)為連接是專用連接。如果受信任CA的公鑰和私鑰被攻擊者獲知,他們可能可以攔截所有專用通信。”

Young表示,通過這種根級證書實(shí)現(xiàn)的中間人攻擊可能給用戶帶來巨大風(fēng)險(xiǎn)。

“如果受害者計(jì)算機(jī)信任假的CA,攻擊者可以竊取密碼、cookies、信用卡號碼,甚至用惡意軟件取代下載的軟件或更新,”Young表示,“通常情況下,這種類型的攻擊會(huì)導(dǎo)致瀏覽器彈出插播式廣告,例如紅色的X警告用戶即將出現(xiàn)的危險(xiǎn)。攻擊者可以生成讓受害者計(jì)算機(jī)信任的證書,這完全破壞了HTTPS和其他基于SSL服務(wù)提供的保護(hù)。”

Young甚至創(chuàng)建了測試頁面,讓用戶來測試其系統(tǒng)是否受感染。如果在點(diǎn)擊鏈接后計(jì)算機(jī)沒有顯示警告頁面,這意味著該系統(tǒng)信任eDellRoot證書。

戴爾已經(jīng)迅速采取行動(dòng)發(fā)布了指南和自動(dòng)工具來幫助用戶刪除該證書,并且還試圖解釋了為什么這種證書會(huì)預(yù)裝在其設(shè)備中。

“該證書并非惡意軟件或廣告軟件,它的目的是向戴爾在線支持提供服務(wù)標(biāo)簽,讓我們可以快速識(shí)別計(jì)算機(jī)型號,讓我們更方便更快捷地為廣大客戶提供服務(wù),”戴爾發(fā)言人Laura P. Thomas在博客中寫道,“該證書沒有被用來收集客戶個(gè)人信息,同樣需要指出的是,該證書在使用推薦的戴爾程序正確刪除后不會(huì)重新安裝。”

Ixia公司應(yīng)用和威脅情報(bào)主管Steve McGregory贊揚(yáng)戴爾在初步報(bào)告發(fā)出的24小時(shí)內(nèi)發(fā)布了修補(bǔ)程序。

“他們?nèi)匀挥写罅康墓P(guān)工作要做,他們必須向其客戶說明他們?nèi)绾螌徍撕涂刂祁A(yù)裝應(yīng)用程序以重新獲得客戶的信任,”McGregory表示,“主要的問題是,很多人在購買計(jì)算機(jī)后不知道他們電腦中安裝了根級CA,我不知道戴爾將如何全面修復(fù)這個(gè)問題。”

Ullrich在援引戴爾聲明中的“停止出血”的說法時(shí)稱,這種情況本來就不應(yīng)該發(fā)生。

“從本質(zhì)上來講,他們創(chuàng)建了一個(gè)巨大的后門,這可能被其他人利用。這類似于使用默認(rèn)用戶名和密碼增加了一個(gè)支持管理員賬戶。雖然戴爾可能不會(huì)用它來下載用戶的機(jī)密文件,但其他人可能會(huì)這樣做,”Ullrich表示,“我還沒有看到戴爾對受影響客戶的任何積極接觸,這些證書需要盡快移除,以避免任何惡意軟件可能利用該問題而制造額外的破壞。”

關(guān)鍵字:superfishTripwire

本文摘自:TechTarget中國

電子周刊
回到頂部

關(guān)于我們聯(lián)系我們版權(quán)聲明隱私條款廣告服務(wù)友情鏈接投稿中心招賢納士

企業(yè)網(wǎng)版權(quán)所有 ©2010-2024 京ICP備09108050號-6 京公網(wǎng)安備 11010502049343號

^ 
    • <menuitem id="jw4sk"></menuitem>
    

    • 

      3. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      
主站蜘蛛池模板:
嘉峪关市|
塔河县|
虎林市|
民乐县|
桃园县|
顺义区|
陆良县|
牙克石市|
云阳县|
镇原县|
桐庐县|
三门峡市|
乳源|
永昌县|
拉孜县|
香河县|
夏河县|
宁陕县|
合山市|
抚松县|
南充市|
寻乌县|
清镇市|
通河县|
天等县|
东阳市|
湘西|
五台县|
南城县|
韶山市|
大埔县|
攀枝花市|
图木舒克市|
长春市|
宁晋县|
北流市|
开原市|
甘肃省|
文安县|
吉林省|
浏阳市|