近日谷歌Zero項目研究人員Tavis Ormandy報告了兩個嚴重漏洞，其中包括卡巴斯基實驗室主流防病毒產品中的SSL證書驗證漏洞。

根據該漏洞報告指出，Ormandy在11月向卡巴斯基報告了這些漏洞，而卡巴斯基在12月28日發布了修復程序，盡管該漏洞的公布“因節假日而略有延誤”。

這兩個漏洞被Zero項目評為嚴重，而這兩者中更為嚴重的是SSL證書驗證漏洞，該漏洞允許攻擊者通過暴力破解有效證書和惡意證書之間的碰撞輕松地執行中間人攻擊。

這個問題之所以出現是因為：卡巴斯基通過從每個證書的MD5哈希的前32位生成密鑰來追蹤本地系統中有效SSL和傳輸層安全證書。這讓攻擊者可使用惡意證書替換有效證書來破壞SSL證書驗證，因為攻擊者可將惡意證書哈希的前32位匹配有效證書。

例如，攻擊者首先可發送mail.google.com的真實證書來攔截受害者與谷歌郵件服務之間的所有流量。卡巴斯基程序會執行SSL證書驗證，然后從真實證書的MD5哈希創建自己的32位密鑰。在下一次連接到mail.google.com時，攻擊者可發送攻擊者網站的證書，其證書會生成與有效證書相同的32位MD5哈希。如果攻擊者將域名系統請求從formail.google.com重定向到攻擊者網站，卡巴斯基會開始使用其緩存證書，而攻擊者已經完全控制mail.google.com。

Ormandy寫道：“出于興趣，我搜索了某些碰撞的Certificate Transparency日志。”從Hacker News網站的證書開始，Ormandy發現與曼徹斯特政府網站的重要碰撞。“你可以訪問https://autodiscover.manchesterct.gov重現該漏洞，然后訪問https://news.ycombinator.com來查看錯誤證書簽名的內容。”

“如果你在曼徹斯特使用卡巴斯基防病毒軟件，并且想知道為什么Hacker News有時候不起作用，”Ormandy稱，“這是因為有個關鍵漏洞已經有效禁用全部4億卡巴斯基用戶的SSL證書驗證。”

第二個漏洞的嚴重等級為高級別，它涉及卡巴斯基軟件內證書頒發機構根證書的安全問題。這個漏洞允許非特權用戶在目標系統作為可信政府頒發機構。

這并不是Ormandy和谷歌Zero項目第一次發現主流防病毒軟件中出乎意料的嚴重漏洞。去年五月，Zero項目就報告稱賽門鐵克防病毒產品容易受到內核內存損壞攻擊，這還不需要用戶交互。

去年九月，Zero項目報告了賽門鐵克防病毒軟件中更嚴重的漏洞，該漏洞與使用未修復開源代碼相關。卡巴斯基防病毒軟件在2015年也曾得到Zero項目的關注，因為其中包含于內存損壞有關的漏洞，這些漏洞當解析使用不同格式的特制惡意文件時會導致內存損壞。