在xboxlive网站的密钥被泄露到网络之后,微软于周二更新了他们的证书信任列表(CTL).
公司没有解释泄露事件是怎么发生的,但是被曝光的证书立刻得到撤销和替换。
微软公司已经知道了xboxlive网站的SSL/TLS数字证书密钥被疏忽泄露。该证书可能被用于执行中间人攻击,”软件业巨头在他们的公告中这么解释道。
“为了保护用户免受具有潜在欺诈性的.xboxlive网站SSL/TLS数字证书的影响,此项证书已被视为无效,微软正在更新针对所有受支持的微软Windows版本的证书信任列表(CTL),以清除之前的证书信任。
新更新的CTL将推向所有受支持的Windows版本。
托德·比尔兹利,Rapid7的安全研究经理,将此次的意外泄露称为密码卫生上的失误,“但是总的来说,用户不太可能受到不利影响,只要他们以常规的方式更新他们的本地证书信任列表。”
在私人密钥双方都知道而公共证书还没有更改的时间段里,私人信息如密码、支付信息等遭到泄露是有可能的,但是,对大多数人来说,这不太可能,”比尔兹利补充说。
比尔兹利说,不可能的原因是因为攻击者必须已经知道了私人密钥,并且至少通过一个中间人记录SSL会话。
“这种情况下,就要求攻击者需要停留在受害者和微软服务器之间路径的某处,”他说。
对于在移动设备上(Windows Phone 8和8.1,Windows 10手机);桌面(Windows 8,8.1,RT,RT 8.1,Windows 10);和服务器(服务器2012、服务器2012 R2)
上运行Windows版本的用户来说,CTL将能通过CTL更新软件自动更新。
运行Vista,Windows 7,Windows Server 2008或Windows Server 2008 R2的系统需要确保他们已经安装了CTL更新服务((KB 2677070)。
尽管泄露的密钥在被撤销之前能够用于执行中间人攻击,但是很重要的一点是,需要注意到它们不能够用于执行其他证书,冒充其他领域或符号代码,微软说。
“让人不安的是,微软已经知道了密钥泄露至少一周的时间,”比尔兹利说,并指出
正如一场主动或被动的中间人攻击不太可能发生一样,更不太可能发生的是,私人密钥碰巧在一个定期补丁星期二泄露。我明白对于事故的回应不可能是瞬时的,但希望在未来公司能够在得知密钥泄露后以更快的速度补发新的证书。
据相关报道,微软于周二发布了12个安全公告,其中解决71个漏洞的九个公告评为重要级别。
其中较为突出的弱点是 MS15-127,后来修复了如果攻击者向DNS服务器发送一个特制请求,能够允许远程执行代码的漏洞。
微软赋予这一漏洞的可利用性级别为2,这意味着开发利用的可能性较小,但是他们不提供关于漏洞本身的很多细节,除了声明它是由DNS的请求所触发的。对于运行曝光于公共视野中的微软DNS服务器的组织机构来说,可能更值得总结一下这个补丁和这个月其他优先修复的补丁–仅仅是为了保持安全。
Rapid7的亚当·诺瓦克还认为应该将MS15-124, MS15-125 and MS15-128当成公告一样来注意,因为它们仅靠自己就能够处理33个漏洞。
“由于这个月大范围的产品受到影响,几乎所有的微软用户都应当警惕。微软的更新通过解决VBScript的某些功能如何处理内存中的对象等根本性问题,防止交叉站点脚本错误地禁用HTML属性,正确执行内容类型和跨域政策,解决了这些漏洞,”诺瓦克说。
于周二发布的其他补丁修复了包括Adobe的70多个漏洞和源于Apple on iOS, Safari, and Watch OS的50多个漏洞。
发表评论
您还未登录,请先登录。
登录