日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
戴爾修復(fù)根證書(shū):你想到Superfish了嗎?

戴爾迅速采取行動(dòng)修復(fù)了其電腦中的根級(jí)證書(shū)問(wèn)題,這個(gè)問(wèn)題與Superfish類似,因?yàn)樗赡茉试S攻擊者攔截加密的個(gè)人數(shù)據(jù)。

成都創(chuàng)新互聯(lián)公司專注于甘谷網(wǎng)站建設(shè)服務(wù)及定制,我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠(chéng)為您提供甘谷營(yíng)銷型網(wǎng)站建設(shè),甘谷網(wǎng)站制作、甘谷網(wǎng)頁(yè)設(shè)計(jì)、甘谷網(wǎng)站官網(wǎng)定制、重慶小程序開(kāi)發(fā)公司服務(wù),打造甘谷網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供甘谷網(wǎng)站排名全網(wǎng)營(yíng)銷落地服務(wù)。

戴爾電腦被發(fā)現(xiàn)預(yù)裝了eDellRoot證書(shū)和私鑰,更糟的是,所有戴爾筆記本電腦都裝有這種證書(shū)。

SANS技術(shù)研究院長(zhǎng)Johannes Ullrich表示,eDellRoot證書(shū)作為受信任的根級(jí)證書(shū)頒發(fā)機(jī)構(gòu)(CA),并且戴爾提供了密鑰,這幾乎允許任何人創(chuàng)建簽名和驗(yàn)證的證書(shū)。

“我可以為Google.com創(chuàng)建證書(shū),使用戴爾密鑰簽名,然后所有受影響戴爾筆記本都會(huì)信任我的證書(shū),”Ullrich表示,“這也可能用于簽名軟件,因?yàn)樵揅A被定義為可用于任何目的,而有些CA只可用于專門(mén)目的?!?/p>

這個(gè)eDellRoot證書(shū)非常危險(xiǎn),該文件在系統(tǒng)重啟后都會(huì)重新安裝自身,除非用戶以特定方式移除它。

今年早些時(shí)候,聯(lián)想電腦被發(fā)現(xiàn)預(yù)裝了Superfish廣告軟件。該Superfish證書(shū)由Superfish簽名和控制,所以它可以注入廣告到聯(lián)想電腦。然而,Superfish還會(huì)安裝自簽名的根級(jí)HTTPS證書(shū),可攔截用戶訪問(wèn)的每個(gè)網(wǎng)站的加密流量。

根據(jù)Tripwire公司安全研究人員Craig Young表示,Superfish或eDellRoot等根級(jí)證書(shū)破壞了證書(shū)頒發(fā)機(jī)構(gòu)建立的信任鏈。

“SSL依靠信任網(wǎng)絡(luò),這包括各大證書(shū)頒發(fā)機(jī)構(gòu)以及各個(gè)網(wǎng)站,”Young解釋說(shuō),“當(dāng)遠(yuǎn)程服務(wù)器提供受信任證書(shū)頒發(fā)機(jī)構(gòu)簽署的安全證書(shū)時(shí),Web瀏覽器和其他系統(tǒng)軟件會(huì)認(rèn)為連接是專用連接。如果受信任CA的公鑰和私鑰被攻擊者獲知,他們可能可以攔截所有專用通信。”

Young表示,通過(guò)這種根級(jí)證書(shū)實(shí)現(xiàn)的中間人攻擊可能給用戶帶來(lái)巨大風(fēng)險(xiǎn)。

“如果受害者計(jì)算機(jī)信任假的CA,攻擊者可以竊取密碼、cookies、信用卡號(hào)碼,甚至用惡意軟件取代下載的軟件或更新,”Young表示,“通常情況下,這種類型的攻擊會(huì)導(dǎo)致瀏覽器彈出插播式廣告,例如紅色的X警告用戶即將出現(xiàn)的危險(xiǎn)。攻擊者可以生成讓受害者計(jì)算機(jī)信任的證書(shū),這完全破壞了HTTPS和其他基于SSL服務(wù)提供的保護(hù)?!?/p>

Young甚至創(chuàng)建了測(cè)試頁(yè)面,讓用戶來(lái)測(cè)試其系統(tǒng)是否受感染。如果在點(diǎn)擊鏈接后計(jì)算機(jī)沒(méi)有顯示警告頁(yè)面,這意味著該系統(tǒng)信任eDellRoot證書(shū)。

戴爾已經(jīng)迅速采取行動(dòng)發(fā)布了指南和自動(dòng)工具來(lái)幫助用戶刪除該證書(shū),并且還試圖解釋了為什么這種證書(shū)會(huì)預(yù)裝在其設(shè)備中。

“該證書(shū)并非惡意軟件或廣告軟件,它的目的是向戴爾在線支持提供服務(wù)標(biāo)簽,讓我們可以快速識(shí)別計(jì)算機(jī)型號(hào),讓我們更方便更快捷地為廣大客戶提供服務(wù),”戴爾發(fā)言人Laura P. Thomas在博客中寫(xiě)道,“該證書(shū)沒(méi)有被用來(lái)收集客戶個(gè)人信息,同樣需要指出的是,該證書(shū)在使用推薦的戴爾程序正確刪除后不會(huì)重新安裝。”

Ixia公司應(yīng)用和威脅情報(bào)主管Steve McGregory贊揚(yáng)戴爾在初步報(bào)告發(fā)出的24小時(shí)內(nèi)發(fā)布了修補(bǔ)程序。

“他們?nèi)匀挥写罅康墓P(guān)工作要做,他們必須向其客戶說(shuō)明他們?nèi)绾螌徍撕涂刂祁A(yù)裝應(yīng)用程序以重新獲得客戶的信任,”McGregory表示,“主要的問(wèn)題是,很多人在購(gòu)買(mǎi)計(jì)算機(jī)后不知道他們電腦中安裝了根級(jí)CA,我不知道戴爾將如何全面修復(fù)這個(gè)問(wèn)題?!?/p>

Ullrich在援引戴爾聲明中的“停止出血”的說(shuō)法時(shí)稱,這種情況本來(lái)就不應(yīng)該發(fā)生。

“從本質(zhì)上來(lái)講,他們創(chuàng)建了一個(gè)巨大的后門(mén),這可能被其他人利用。這類似于使用默認(rèn)用戶名和密碼增加了一個(gè)支持管理員賬戶。雖然戴爾可能不會(huì)用它來(lái)下載用戶的機(jī)密文件,但其他人可能會(huì)這樣做,”Ullrich表示,“我還沒(méi)有看到戴爾對(duì)受影響客戶的任何積極接觸,這些證書(shū)需要盡快移除,以避免任何惡意軟件可能利用該問(wèn)題而制造額外的破壞?!?/p>
標(biāo)題名稱:戴爾修復(fù)根證書(shū):你想到Superfish了嗎?
文章鏈接:http://www.5511xx.com/article/dppsdco.html