全球更大证书颁发机构(CA)也发错证书
Comodo (科摩多)是世界上更大的证书颁发机构(CA),迄今为止在 HTTPS SSL 证书市场中处于领先地位。
近日科摩多表示 已修复 证书自动颁发程序的漏洞,目前该机构
已处理曾允许攻击者请求并成功颁发不属于自己网站证书的缺陷机制。
科摩多的自动验证程序会将 Whois 记录中注册者邮件与请求证书验证的邮件做对比,系统将域名以图片形式存储再利用图像识别技术匹配两者信息。而此次出现缺陷的原因在于 OCR 识别模块无法将小写字母 “l” 与数字 “1”、字母”o”和数字”0″区分开来,另外该组件在读取”L / 1″时,如果字符后的是数字将会当成是”1″,紧随其后的是字母则会认为是小写 “l”。研究人员以域名“altelekom.at”、“a1telekom.at”作为测试请求证书也获得了通过。
安全公司在今年 9 月通报了这个漏洞,然而调查发现漏洞在科摩多自动验证程序中存在已久,目前 Mozilla 工程师们也在积极报告处理这个问题。
稿源:本站翻译整理,封面来源:百度搜索
“全球更大证书颁发机构(CA)也发错证书” 的相关文章
Atlassian 解决了一个关键的 Jira 身份验证绕过漏洞
Atlassian解决了其Jira Seraph软件中的一个严重漏洞,该漏洞编号为CVE-2022-0540(CVSS 评分 9.9),未经身份验证的攻击者可以利用该漏洞绕过身份验证。威胁参与者可以通过向易受攻击的软件发送特制的HTTP 请求来触发漏洞。 该漏洞会对Jira软件多版本产生影响,比如...
欧洲立法者对欧盟国家使用 Pegasus 间谍软件展开调查
欧洲议会周四投票决定成立一个新的 “调查委员会”,调查针对欧洲成员国获取和使用Pegasus(飞马)手机间谍软件的指控。议员们基本上投票赞成设立该委员会,该委员会将调查欧盟27个成员国使用Pegasus和其他监控间谍软件的情况。 调查委员会允许立法者调查可能违反欧洲法律的行为。欧洲议会在一份声明中说...
盗版有风险:谨防 BitRAT 恶意软件伪装成 Windows 10 激活工具传播
近段时间,一轮新的 BitRAT 恶意软件活动正在加速传播。手段是利用非官方的微软许可证激活器,来激活盗版 Windows 操作系统。Bleeping Computer 指出,BitRAT 是一款功能强大的远程访问木马。在网络犯罪论坛和暗网市场上,它正以 20 美元的买断价,向网络犯罪分子们兜售。...
Cynerio 报告:医院中一半的联网设备容易受到黑客攻击
根据医疗网络安全公司Cynerio的一份新报告,医院中使用的互联网连接设备有一半以上存在漏洞,可能会危及病人安全、机密数据或设备的可用性。 该报告分析了全球300多家医院和医疗机构的1000多万台设备的数据,该公司通过连接到设备上的连接器收集这些数据,作为其安全平台的一部分。 医院里最常见的互联网...
去年针对 Linux 发行版本的恶意软件数量同比增加 35%
根据 CrowdStrike 的威胁遥测数据,在 2021 年针对 Linux 发行版本(被物联网设备广泛部署)的恶意软件数量比 2020 年增加了 35%。其中 XorDDoS、Mirai 和 Mozi 这前三个恶意软件家族在 2021 年占所有基于 Linux 的 IoT 恶意软件的 22%。...
Google 研究人员:Pegasus iPhone 攻击是有史以来最复杂的漏洞之一
现在已经打了补丁的Pegasus iPhone攻击是近年来看到的最复杂的攻击之一。在研究了多次成为头条新闻的iMessage安全漏洞后,来自Project Zero的Google研究人员将其描述为“技术上最复杂的漏洞之一”。 他们称,NSO集团的工具在复杂程度上跟民族国家间谍工具不相上下。而NSO...
评论列表
发表评论
