导读 Windows 10中发现的NSA漏洞不仅会影响Microsoft操作系统,而且还会影响Microsoft操作系统。它还可以帮助掩盖在Google Chrome浏览器上的黑
Windows 10中发现的NSA漏洞不仅会影响Microsoft操作系统,而且还会影响Microsoft操作系统。它还可以帮助掩盖在Google Chrome浏览器上的黑客攻击尝试。
从周三开始,安全研究人员开始演示如何使用Windows 10漏洞CVE-2020-0601欺骗Chrome上官方网站域的受信任数字证书。
一位专家Saleem Rashid通过欺骗NSA.gov网站的SSL证书来做到这一点,该证书最早由Ars Technica报告。由于存在此漏洞,因此Google的浏览器会在虚假的情况下错误地将证书解释为有效。
最大的限制是Chrome严格的证书策略,并且必须缓存根CA,您可以通过访问使用证书pic.twitter.com/GgftwVvpY8的合法站点来触发
Kudelski Security的Yolan Romailler告诉PCMag,发生误读是因为Chrome依赖Windows 10的CryptoAPI来验证证书。不幸的是,相同的API在审查椭圆曲线密码学时存在严重的错误。微软周二警告说,您实际上可以操纵证书来欺骗该系统,使它认为它是真实的,并且来自受信任的来源。