谷歌Zero研究人员揭卡巴斯基防病毒软件中存SSL证书验证漏洞

日期:2017-1-11作者:Peter Loshin翻译:邹铮来源:TechTarget中国 英文

【TechTarget中国原创】

近日谷歌Zero项目研究人员Tavis Ormandy报告了两个严重漏洞,其中包括卡巴斯基实验室主流防病毒产品中的SSL证书验证漏洞。

根据该漏洞报告指出,Ormandy在11月向卡巴斯基报告了这些漏洞,而卡巴斯基在12月28日发布了修复程序,尽管该漏洞的公布“因节假日而略有延误”。

这两个漏洞被Zero项目评为严重,而这两者中更为严重的是SSL证书验证漏洞,该漏洞允许攻击者通过暴力破解有效证书和恶意证书之间的碰撞轻松地执行中间人攻击。

这个问题之所以出现是因为:卡巴斯基通过从每个证书的MD5哈希的前32位生成密钥来追踪本地系统中有效SSL和传输层安全证书。这让攻击者可使用恶意证书替换有效证书来破坏SSL证书验证,因为攻击者可将恶意证书哈希的前32位匹配有效证书。

例如,攻击者首先可发送mail.google.com的真实证书来拦截受害者与谷歌邮件服务之间的所有流量。卡巴斯基程序会执行SSL证书验证,然后从真实证书的MD5哈希创建自己的32位密钥。在下一次连接到mail.google.com时,攻击者可发送攻击者网站的证书,其证书会生成与有效证书相同的32位MD5哈希。如果攻击者将域名系统请求从formail.google.com重定向到攻击者网站,卡巴斯基会开始使用其缓存证书,而攻击者已经完全控制mail.google.com。

Ormandy写道:“出于兴趣,我搜索了某些碰撞的Certificate Transparency日志。”从Hacker News网站的证书开始,Ormandy发现与曼彻斯特政府网站的重要碰撞。“你可以访问https://autodiscover.manchesterct.gov重现该漏洞,然后访问https://news.ycombinator.com来查看错误证书签名的内容。”

“如果你在曼彻斯特使用卡巴斯基防病毒软件,并且想知道为什么Hacker News有时候不起作用,”Ormandy称,“这是因为有个关键漏洞已经有效禁用全部4亿卡巴斯基用户的SSL证书验证。”

第二个漏洞的严重等级为高级别,它涉及卡巴斯基软件内证书颁发机构根证书的安全问题。这个漏洞允许非特权用户在目标系统作为可信政府颁发机构。

这并不是Ormandy和谷歌Zero项目第一次发现主流防病毒软件中出乎意料的严重漏洞。去年五月,Zero项目就报告称赛门铁克防病毒产品容易受到内核内存损坏攻击,这还不需要用户交互。

去年九月,Zero项目报告了赛门铁克防病毒软件中更严重的漏洞,该漏洞与使用未修复开源代码相关。卡巴斯基防病毒软件在2015年也曾得到Zero项目的关注,因为其中包含于内存损坏有关的漏洞,这些漏洞当解析使用不同格式的特制恶意文件时会导致内存损坏。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Peter Loshin
Peter Loshin

网站编辑

病毒/蠕虫/恶意软件>更多

相关推荐

技术手册>更多

  • Web服务器安全设置

    本专题将介绍如何策划并进行Web服务器操作系统和服务的安装,并列出了在Web服务器的安装和使用的过程中,所面临的主要的威胁和攻击类型。此外本专题还将详细解释了加固步骤以及如何保护其他的诸如SMTP之类的网络服务。

  • 统一威胁管理实用手册

    为了应对更加纷繁复杂的攻击,供应商开发出一些集成系统,将所有不同的防御技术集成到一个产品中,统一威胁管理(UTM)系统应运而生。统一威胁管理系统囊括多种功能,且价格相对较低,以其高性价比而颇受青睐。

  • 下一代防火墙分析指南

    目前防火墙仍是很多企业最重要的安全设备之一。但随着新型威胁造成的危害日益严重,传统防火墙越来越力不从心,下一代防火墙顺势而来。

  • 虚拟化安全手册

    未来企业在IT基础架构建设中,将侧重于建设领先的虚拟化IT环境。但虚拟化环境面临着不同于物理环境的安全问题,本技术手册将为你详细介绍虚拟化安全挑战,并提供解决策略和方法。

TechTarget

最新资源
  • 存储
  • CIO
  • 数据库
  • 网络
  • 数据中心
  • 云计算