|
|
联想回溯问题Superfish美国提供安全警报官员警告交通拦截广告软件. 灰鸽子下载
个人电脑巨头联想已经承认,广告软件预装在几个笔记本可以用在中间人拦截攻击。
联想最初表示,Superfish广告软件安装到“增强用户的体验”,试图淡化担忧广告软件安装假数字证书,把它完全访问客户的传输层安全性(TLS)身份验证和安全web浏览会话。
研究人员能够轻松地提取假Superfish证书的私钥,这将允许任何人在同一网络作为目标用户拦截和修改TLS流量。
美国计算机紧急响应小组(us - cert)现在警告用户卸载Superfish和假离婚证,以避免牺牲品HTTPS欺骗。
联想本身已发布了莱恩- 2015 - 101安全顾问Superfish漏洞,清单的一系列广告软件的笔记本电脑预装在2014年9月和今年2月之间。
在周末它发布了一个工具,消除了伪造的证书以及软件。
这个周末微软还发布了最新定义的后卫反恶意软件程序,目前承认“木马:Win32 / Superfish。“广告软件和删除它,重置Windows证书存储。
Superfish CEO Adi Pinhas发表声明指责以色列公司Komodia——建立SSL中使用重定向器应用程序的广告软件——脆弱性。
us - cert指出Komodia转向器,说非唯一根安装数字证书和私钥进而使系统使用“一般容易HTTPS欺骗,”其他几个供应商。
除了分享在安装根CA证书,据报道,SSL验证Komodia本身执行坏了,灰鸽子使用教程,灰鸽子远程控制软件。
这个漏洞可以让攻击者普遍攻击Komodia转向器的所有设施,而不是需要关注一个应用程序/证书。
- us - cert
与Komodia SSL转向器安装系统上,攻击者可以恶搞和拦截HTTPS交通不触发浏览器证书警告,us - cert警告说。
该组织建议用户卸载Komodia SSL转向器及其相关证书的系统。
让我们面对,任何企业关心网络安全不使用联想。如果不是解放军,狡猾的证书和转向器。 |
|
加载中...
发表于 2015-2-23 13:56:35
发表于 2015-2-23 13:56:37