全球更大证书颁发机构(CA)也发错证书
Comodo (科摩多)是世界上更大的证书颁发机构(CA),迄今为止在 HTTPS SSL 证书市场中处于领先地位。
近日科摩多表示 已修复 证书自动颁发程序的漏洞,目前该机构
已处理曾允许攻击者请求并成功颁发不属于自己网站证书的缺陷机制。
科摩多的自动验证程序会将 Whois 记录中注册者邮件与请求证书验证的邮件做对比,系统将域名以图片形式存储再利用图像识别技术匹配两者信息。而此次出现缺陷的原因在于 OCR 识别模块无法将小写字母 “l” 与数字 “1”、字母”o”和数字”0″区分开来,另外该组件在读取”L / 1″时,如果字符后的是数字将会当成是”1″,紧随其后的是字母则会认为是小写 “l”。研究人员以域名“altelekom.at”、“a1telekom.at”作为测试请求证书也获得了通过。
安全公司在今年 9 月通报了这个漏洞,然而调查发现漏洞在科摩多自动验证程序中存在已久,目前 Mozilla 工程师们也在积极报告处理这个问题。
稿源:本站翻译整理,封面来源:百度搜索
“全球更大证书颁发机构(CA)也发错证书” 的相关文章
小心:勒索软件 Magniber 伪装成 Windows 更新传播
在最新活动中,恶意软件 Magniber 利用虚假的 Windows 10 更新实现传播。这款恶意软件非常善于紧跟最新时事进行传播,在 2021 年使用 PrintNightmare 漏洞来感染受害者;在 2022 年 1 月,它再次通过 Edge 和 Chrome 浏览器进行传播。 援引科...
僵尸网络 Kraken 轻松骗过 Windows Defender 并窃取加密货币钱包数据
微软最近对Windows Defender的排除权限进行了更新,没有管理员权限就无法查看排除的文件夹和文件。这是一个重要的变化,因为威胁者往往会利用这一信息在这种被排除的目录中提供恶意软件的载荷,以绕过防御者的扫描。 然而,这可能无法阻止ZeroFox最近发现的一个名为Kraken的新僵尸网络。这...
针对 Okta 认证公司的黑客攻击使成众多大中型企业处于高度警戒状态
网络安全公司F-Secure正在对其企业安全业务进行品牌重塑,新名称为WithSecure,并设计了时髦的新标志。WithSecure以前被称为F-Secure Business,它将专注于企业安全产品和解决方案,而消费者安全产品和服务仍以现有的F-Secure名称提供。 据路透社报道,被全球数千家...
苹果公司发出警告后 Pegasus 黑客受害者陆续浮出水面
NSO的Pegasus(飞马)iPhone黑客是今年最重要的科技争议之一。过去几个月的几份报告揭示了一个令人难以置信的复杂的iPhone黑客攻击活动。Pegasus允许国家行为者通过使用零日攻击来监视使用iPhone的特定人物目标。 受害者甚至不需要点击信息中的链接来安装PegASUS间谍软件程序...
研究人员发现医院用自动机器人有被远程劫持的风险
十年前,安全研究员巴纳比-杰克(Barnaby Jack)在舞台上当着数百人的面无线入侵了医院的胰岛素泵,以证明它是多么容易被入侵以提供致命剂量的药物。在过去的几年里,医疗设备的安全性已经得到了改善,尽管偶尔会有一些引人注目的小插曲。但是,研究人员现在发现较新的医院技术存在漏洞,而这些漏洞在十年前还...
微软控制了一批用于对乌克兰进行网络攻击的与俄罗斯有联系的 Strontium 域名
微软透露,它已经控制了由一个与俄罗斯有联系的黑客实体(称为Strontium)控制的七个互联网域名。据该公司称,这些域名被用于对乌克兰机构的网络攻击,如新闻媒体组织以及美国和欧盟涉及外交政策的政府机构和智囊。 在微软于4月6日获得法院命令后,这些域名被查封。微软长期以来一直在对付Strontium...
评论列表
发表评论
