谷歌Zero研究人员揭卡巴斯基防病毒软件中存SSL证书验证漏洞

日期:2017-1-11作者:Peter Loshin翻译:邹铮来源:TechTarget中国 英文

【TechTarget中国原创】

近日谷歌Zero项目研究人员Tavis Ormandy报告了两个严重漏洞,其中包括卡巴斯基实验室主流防病毒产品中的SSL证书验证漏洞。

根据该漏洞报告指出,Ormandy在11月向卡巴斯基报告了这些漏洞,而卡巴斯基在12月28日发布了修复程序,尽管该漏洞的公布“因节假日而略有延误”。

这两个漏洞被Zero项目评为严重,而这两者中更为严重的是SSL证书验证漏洞,该漏洞允许攻击者通过暴力破解有效证书和恶意证书之间的碰撞轻松地执行中间人攻击。

这个问题之所以出现是因为:卡巴斯基通过从每个证书的MD5哈希的前32位生成密钥来追踪本地系统中有效SSL和传输层安全证书。这让攻击者可使用恶意证书替换有效证书来破坏SSL证书验证,因为攻击者可将恶意证书哈希的前32位匹配有效证书。

例如,攻击者首先可发送mail.google.com的真实证书来拦截受害者与谷歌邮件服务之间的所有流量。卡巴斯基程序会执行SSL证书验证,然后从真实证书的MD5哈希创建自己的32位密钥。在下一次连接到mail.google.com时,攻击者可发送攻击者网站的证书,其证书会生成与有效证书相同的32位MD5哈希。如果攻击者将域名系统请求从formail.google.com重定向到攻击者网站,卡巴斯基会开始使用其缓存证书,而攻击者已经完全控制mail.google.com。

Ormandy写道:“出于兴趣,我搜索了某些碰撞的Certificate Transparency日志。”从Hacker News网站的证书开始,Ormandy发现与曼彻斯特政府网站的重要碰撞。“你可以访问https://autodiscover.manchesterct.gov重现该漏洞,然后访问https://news.ycombinator.com来查看错误证书签名的内容。”

“如果你在曼彻斯特使用卡巴斯基防病毒软件,并且想知道为什么Hacker News有时候不起作用,”Ormandy称,“这是因为有个关键漏洞已经有效禁用全部4亿卡巴斯基用户的SSL证书验证。”

第二个漏洞的严重等级为高级别,它涉及卡巴斯基软件内证书颁发机构根证书的安全问题。这个漏洞允许非特权用户在目标系统作为可信政府颁发机构。

这并不是Ormandy和谷歌Zero项目第一次发现主流防病毒软件中出乎意料的严重漏洞。去年五月,Zero项目就报告称赛门铁克防病毒产品容易受到内核内存损坏攻击,这还不需要用户交互。

去年九月,Zero项目报告了赛门铁克防病毒软件中更严重的漏洞,该漏洞与使用未修复开源代码相关。卡巴斯基防病毒软件在2015年也曾得到Zero项目的关注,因为其中包含于内存损坏有关的漏洞,这些漏洞当解析使用不同格式的特制恶意文件时会导致内存损坏。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Peter Loshin
Peter Loshin

网站编辑

病毒/蠕虫/恶意软件>更多

相关推荐

技术手册>更多

  • 移动安全:从MDM到EMM

    移动设备大量涌入企业催生了一整套全新的技术来解决安全性和合规性的问题。移动设备管理(MDM)最先出现,一度是解决移动安全较好的选择。然而新的安全威胁不断升级,随之出现了更强大和全面的管理方法,其中标志性方法就是企业移动管理(EMM)。

  • 办公移动化下的数据安全手册

    iPhone,iPad,Android,黑莓等移动设备随处可见,办公移动化下,如何保证企业的数据安全?本技术手册将从三个方面为你提供移动应用环境中的数据安全保护建议。

  • BYOD安全指南

    随着越来越多的移动设备涌入企业,BYOD已经不再是一个趋势,而是无可置疑的事实。但是,BYOD在给我们带来便捷的同时,也常常会导致安全问题。这个安全需要考虑很多因素。

  • Nmap应用指南

    Nmap是一个著名的开源工具,它是在20世纪90后期出现的。2003年,在电影《黑客帝国2》中Tritnity曾用Nmap 2.54BETA25版攻击SSH 服务器, 破坏发电厂的安全,Nmap因此受到了普遍关注。在现实生活中,Nmap主要用于确定网络上的主机,主机提供的服务,以及扫描网络的开放端口等等。Nmap是安全专家用以映射他们的网络和测试安全漏洞的有价值的工具,有人担心黑客帝国中的情况的出现,因为Nmap也是恶意黑客的利用的工具,被用来查找可以攻击的开放端口。本专题将给安全专家提供一些指南,包括在企业环境中,如何在windows和Linux平台上安装Nmap,以及Nmap的设置,运行和评估。 

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算