superfish證書被破解,聯想使用者面臨攻擊

聯想的Superfish漏洞越來越嚴重,因為研究人員發現了一種利用預裝軟體開啟的安全漏洞的簡單方法。2014年9月至2015年1月期間銷售的聯想膝上型電腦上都有Superfish,不過聯想表示,這款軟體沒有附帶ThinkPad。這個漏洞因為破壞了基本的網路安全協議而受到攻擊,它透過一個由第三方廣告軟體公司擁有的受密碼保護的證書頒發機構來路由所有的加密。任何擁有解鎖證書頒發機構的密碼的人都可以完全繞...

聯想的Superfish漏洞越來越嚴重,因為研究人員發現了一種利用預裝軟體開啟的安全漏洞的簡單方法。2014年9月至2015年1月期間銷售的聯想膝上型電腦上都有Superfish,不過聯想表示,這款軟體沒有附帶ThinkPad。這個漏洞因為破壞了基本的網路安全協議而受到攻擊,它透過一個由第三方廣告軟體公司擁有的受密碼保護的證書頒發機構來路由所有的加密。任何擁有解鎖證書頒發機構的密碼的人都可以完全繞過計算機的網路加密。

007Ys3FFgy1gq00304ciwj31ko11uqic

今天早上,研究人員發現併發布了該密碼,將一個安全漏洞轉化為攻擊的主動向量。根據Errata Security的Robert David Graham的帖子,密碼儲存在Superfish軟體的活動記憶體中,提取起來很簡單。

密碼很容易提取

被破解的證書使聯想使用者面臨中間人攻擊,類似於Heartbleed的攻擊。有了這個密碼和正確的軟體,咖啡店老闆就有可能監視她網路上的任何聯想使用者,收**話期間輸入的任何密碼。邪惡的咖啡師還可以隨意在資料流中**惡意軟體,偽裝成軟體更新或可信網站。

更糟糕的是,這個問題沒有明確的解決辦法。軟體可以解除安裝(這裡有說明),但這並不能完全解決問題。Superfish將所有受感染的計算機設定為透過Superfish的證書頒發機構執行web加密,該機構現在可以透過釋出的密碼輕鬆解鎖-但簡單地解除安裝軟體不會從您的受信任設定中刪除證書。您可以在軟體退出後手動刪除它,或者更小心地完全重新安裝作業系統。這項測試將顯示你的電腦是否受到影響,由研究員菲利波·瓦爾索達提供。

同時,任何受此漏洞影響的人都應該盡可能避免使用公共Wi-Fi網路,或者透過受保護的VPN進行連線。在今天早些時候的一份宣告中,聯想表示,該公司已經“徹底調查了這項技術,(沒有)找到任何證據證實安全問題。”

2月19日下午1:39:更新,包括更全面的指示刪除錯誤。

  • 發表於 2021-04-29 02:04
  • 閱讀 ( 37 )
  • 分類:網際網路

你可能感興趣的文章

為什麼道德駭客是合法的,為什麼我們需要它

...人的愛好,它還是一種生計。你可以參加一門課程並獲得證書,以此向僱主證明你適合這份工作。 ...

  • 發佈於 2021-03-19 05:01
  • 閲讀 ( 58 )

什麼是根證書?如何使用它監視您?

...根證書的濫用不僅僅是哈薩克的問題。全世界的網際網路使用者都應該意識到安全工具是如何被濫用的。這些工具可能會損害隱私,並收集有關您訪問的網站和線上傳送的訊息的資料。 ...

  • 發佈於 2021-03-19 13:25
  • 閲讀 ( 49 )

工作場所中的證書洩露和內部威脅風險

...人士2020年內幕威脅報告》的結論是,63%的組織認為特權IT使用者是對安全的最大潛在威脅。 ...

  • 發佈於 2021-03-27 04:16
  • 閲讀 ( 50 )

什麼是中間人攻擊?

...發生在使用HTTPS(HTTP的安全版本)的銀行網站上。因此,使用者遇到一個提示加密證書不正確的螢幕。現在幾乎每個網站都使用HTTPS,在位址列中,除了URL外,還可以看到一個掛鎖圖示。 ...

  • 發佈於 2021-03-28 23:35
  • 閲讀 ( 48 )

保護nas的6件事

... 禁用預設管理員帳戶 你的NAS有一個預設的管理員帳戶,使用者名稱很可能是“admin”(真有創意,哈?)。問題是您通常無法更改此預設帳戶的使用者名稱。我們建議禁用預設管理員帳戶,並使用自定義使用者名稱建立新的管...

  • 發佈於 2021-04-06 08:58
  • 閲讀 ( 61 )

如何在windows pc上檢查危險的、類似superfish的證書

危險的根證書是一個嚴重的問題。從聯想的Superfish到戴爾的eDellRoot以及廣告軟體程式安裝的許多其他證書,您的計算機的**商或您安裝的程式可能添加了一個使您易於攻擊的證書。下面是如何檢查你的證書是否乾淨。 在過去,...

  • 發佈於 2021-04-10 01:11
  • 閲讀 ( 36 )

下載.com還有一些人捆綁了超時尚的https廣告軟體

...可怕的時間成為一個Windows使用者。聯想正在捆綁HTTPS劫持Superfish廣告軟體,Comodo附帶了一個更糟糕的安全漏洞PrivDog,還有許多其他應用程式,如LavaSoft也在做同樣的事情。這真的很糟糕,但如果你想你的加密網路會話被劫持,只...

  • 發佈於 2021-04-11 00:08
  • 閲讀 ( 51 )

購買windows pc的唯一安全的地方是微軟商店

聯想已經在他們的個人電腦上釋出Superfish好幾個月了。這是一場安全災難,它表明PC**商實際上很少關心您的PC安全。只有一種方法可以確保你的新電腦使用安全。 超級魚只是冰山一角。個人電腦**商在他們的新個人電腦上安裝...

  • 發佈於 2021-04-11 00:12
  • 閲讀 ( 36 )

5 web上https和ssl安全的嚴重問題

...聲稱,該證書僅在一個私人網路上用於窺探該網路自己的使用者,而不是由法國**使用。即使這是真的,在頒發證書時也違反了ANSSI自己的政策。 完美的前向保密並非無處不在 許多網站不使用“完美前向保密”技術,這種技術...

  • 發佈於 2021-04-11 11:29
  • 閲讀 ( 49 )

網路安全:瞭解駭客、網路釣魚者和網路罪犯

...客或網路罪犯會以他們為目標。正因為如此,大多數普通使用者甚至沒有想到安全性。聽起來很奇怪,很奇怪…就像電影裡的東西!現實是相當可怕的,大多數罪犯想以你為目標,因為他們可以,而且他們可能逃脫懲罰。你不需...

  • 發佈於 2021-04-12 18:56
  • 閲讀 ( 51 )
fflzvs7091
fflzvs7091

0 篇文章

作家榜

  1. admin 0 文章
  2. 孫小欽 0 文章
  3. JVhby0 0 文章
  4. fvpvzrr 0 文章
  5. 0sus8kksc 0 文章
  6. zsfn1903 0 文章
  7. w91395898 0 文章
  8. SuperQueen123 0 文章

相關推薦