Google曝法国伪造CA证书360率先

2019-08-09 18:02 来源:和龙科技网 2

Google曝法国伪造CA证书 360率先全面防御

Google安全博客最近发表声明称,一个与法国信息系统安全局(ANSSI)有关系的中级CA发行商发行了伪造的CA证书。ANSSI随后回应,称发行伪造证书是一次人为错误。鉴于伪造CA证书对互联用户的通讯安全存在严重威胁,微软紧急发布补丁吊销假证书(针对Vista/Win7/2008)

Google曝法国伪造CA证书360率先

,国内360安全卫士也已向用户推送补丁,并率先为Windows XP、2003系统用户提供临时防范措施。

图:360率先防御虚假数字证书欺骗漏洞

据悉,ANSSI伪造CA证书是全球首例曝光的国家级伪造CA证书劫持加密通讯事件,在络安全行业影响恶劣。此伪造CA证书被利用监视Google流量,劫持Google的加密络服务,例如对Gmail、Google HTTPS搜索、Youtube等进行钓鱼攻击、内容欺骗和中间人攻击。

根据360安全中心分析,此次事件对国内用户同样影响重大,国内的银支付和第三方支付普遍采用HTTPS来加密和确保交易安全,攻击者可以利用此CA证书伪造任意SSL证书,从而伪造银、支付等络信息,实现钓鱼或中间人攻击,窃取受害者的上支付资金。

微软安全公告宣布开始吊销该证书。公告显示,微软的Windows8、Windows8.1、Server2012、Server2012 R2版本系统会自动更新吊销证书,针对Windows Vista、Windows7、Server2008、Server2008R2等操作系统,微软为用户提供了吊销证书的补丁,但暂未对Windows XP和2003系统用户提供补丁。

针对XP和2003系统用户,安全厂商360于12月10日晚间宣布推出防范措施,用户使用360安全卫士系统修复,安装编号为QH360020的临时补丁后,即可防御此次虚假数字证书欺骗漏洞,保护加密络通讯和上交易支付安全。

关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容。

特别提醒:本内容转载自其他媒体,目的在于传递更多信息,并不代表本赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接及连带。如若本有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。

友情链接: