谷歌Zero研究人员揭卡巴斯基防病毒软件中存SSL证书验证漏洞

日期:2017-1-11作者:Peter Loshin翻译:邹铮来源:TechTarget中国 英文

【TechTarget中国原创】

近日谷歌Zero项目研究人员Tavis Ormandy报告了两个严重漏洞,其中包括卡巴斯基实验室主流防病毒产品中的SSL证书验证漏洞。

根据该漏洞报告指出,Ormandy在11月向卡巴斯基报告了这些漏洞,而卡巴斯基在12月28日发布了修复程序,尽管该漏洞的公布“因节假日而略有延误”。

这两个漏洞被Zero项目评为严重,而这两者中更为严重的是SSL证书验证漏洞,该漏洞允许攻击者通过暴力破解有效证书和恶意证书之间的碰撞轻松地执行中间人攻击。

这个问题之所以出现是因为:卡巴斯基通过从每个证书的MD5哈希的前32位生成密钥来追踪本地系统中有效SSL和传输层安全证书。这让攻击者可使用恶意证书替换有效证书来破坏SSL证书验证,因为攻击者可将恶意证书哈希的前32位匹配有效证书。

例如,攻击者首先可发送mail.google.com的真实证书来拦截受害者与谷歌邮件服务之间的所有流量。卡巴斯基程序会执行SSL证书验证,然后从真实证书的MD5哈希创建自己的32位密钥。在下一次连接到mail.google.com时,攻击者可发送攻击者网站的证书,其证书会生成与有效证书相同的32位MD5哈希。如果攻击者将域名系统请求从formail.google.com重定向到攻击者网站,卡巴斯基会开始使用其缓存证书,而攻击者已经完全控制mail.google.com。

Ormandy写道:“出于兴趣,我搜索了某些碰撞的Certificate Transparency日志。”从Hacker News网站的证书开始,Ormandy发现与曼彻斯特政府网站的重要碰撞。“你可以访问https://autodiscover.manchesterct.gov重现该漏洞,然后访问https://news.ycombinator.com来查看错误证书签名的内容。”

“如果你在曼彻斯特使用卡巴斯基防病毒软件,并且想知道为什么Hacker News有时候不起作用,”Ormandy称,“这是因为有个关键漏洞已经有效禁用全部4亿卡巴斯基用户的SSL证书验证。”

第二个漏洞的严重等级为高级别,它涉及卡巴斯基软件内证书颁发机构根证书的安全问题。这个漏洞允许非特权用户在目标系统作为可信政府颁发机构。

这并不是Ormandy和谷歌Zero项目第一次发现主流防病毒软件中出乎意料的严重漏洞。去年五月,Zero项目就报告称赛门铁克防病毒产品容易受到内核内存损坏攻击,这还不需要用户交互。

去年九月,Zero项目报告了赛门铁克防病毒软件中更严重的漏洞,该漏洞与使用未修复开源代码相关。卡巴斯基防病毒软件在2015年也曾得到Zero项目的关注,因为其中包含于内存损坏有关的漏洞,这些漏洞当解析使用不同格式的特制恶意文件时会导致内存损坏。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Peter Loshin
Peter Loshin

网站编辑

病毒/蠕虫/恶意软件>更多

相关推荐

技术手册>更多

  • 无线访问安全

    在本专题中,你可以了解无线访问协议的好处与坏处、如何控制无线访问的预算、如何选择合适的802.1X、如何进行无线局域网认证以及如何防御典型的无线局域网攻击,这样你就可以选择控制、认证和对你的无线局域网的授权访问的最好方式。

  • 配置应用防火墙

    市场研究公司Gartner最近发表的研究报告强调了这种威胁并且预测当前成功的攻击有75%以上发生在应用层。Gartner甚至提出了一个更吓人的预测:到2009年年底,80% 的企业将成为应用层攻击的受害者。这正是应用防火墙发挥作用的地方。这些防火墙在HTTP通讯到达网络服务器之前对这些通讯进行应用层检查。这些设备能够检测到一个连接并且分析用户正在提供给这个应用程序的指令的性质和类型。然后,它们能够根据已知的攻击特征或者异常的应用状况分析这些通讯。

  • 下一代防火墙分析指南

    目前防火墙仍是很多企业最重要的安全设备之一。但随着新型威胁造成的危害日益严重,传统防火墙越来越力不从心,下一代防火墙顺势而来。

  • 云计算合规教程

    企业在盲目部署云服务前,必须考虑到云计算的合规问题。本技术手册将带你一起讨论云合规问题,帮助企业全面的看待云计算所带来的影响。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算