Comodo 欺詐電子證書偽造漏洞
最後更新
2011年03月25日
發佈日期:
2011年03月24日
3652
觀看次數
風險: 中度風險
類型: 用戶端 - 瀏覽器
在所有被支援之微軟視窗的「受信任的根憑證授權單位」內,其中一個憑證授權單位 Comodo 發出了 9 張偽造電子證書。其他使用電子證書的產品(包括所有瀏覽器)亦受影響。由於該 9 張證書均由未經驗證身份的第三方簽署,攻擊者可利用這些證書針對瀏覽器使用者,進行偽冒內容、釣魚網站或中間人攻擊。
這些證書影響以下網絡資源:
- login.live.com
- mail.google.com
- www.google.com
- login.yahoo.com (3 張證書)
- login.skype.com
- addons.mozilla.org
- "Global Trustee"
Comodo 已撤銷這些證書,並於 Comodo 的證書撤銷清單 (CRL) 列出。此外,已啟動 Online Certificate Status Protocol (OCSP) 的瀏覽器會驗證這些證書,並禁止它們被使用。
影響
- 仿冒
受影響之系統或技術
- 使用電子證書的產品(包括所有瀏覽器)
- 視窗 XP
- 視窗伺服器 2003
- 視窗 Vista
- 視窗伺服器 2008
- 視窗 7
- 視窗伺服器 2008 R2
- Internet Explorer
- Mozilla Firefox
- Mozilla SeaMonkey
- Google Chrome
解決方案
在安裝軟體之前,請先瀏覽軟體供應商之網站,以獲得更多詳細資料。
- 下載適用於視窗的更新(包括Internet Explorer)
http://support.microsoft.com/kb/2524375 - 升級至 Mozilla Firefox 3.6.16 或 3.5.18 版本:
http://www.mozilla.com/firefox/ - 升級至 Mozilla SeaMonkey 2.0.13 版本 :
http://www.mozilla.org/projects/seamonkey/ - 升級至 Google Chrome 10.0.648.151 版本 :
http://www.google.com/chrome - 暫時未有其他軟件的修補程式。
漏洞識別碼
- 暫無 CVE 可提供
資料來源
相關連結
- http://blogs.comodo.com/it-security/data-security/the-recent-ca-compromise/
- http://www.microsoft.com/technet/security/advisory/2524375.mspx
- http://support.microsoft.com/kb/2524375
- http://www.vupen.com/english/advisories/2011/0733
- http://blog.mozilla.com/security/2011/03/22/firefox-blocking-fraudulent-certificates/
- http://googlechromereleases.blogspot.com/2011/03/stable-and-beta-channel-updates_17.html
分享至