虛假 SSL 數碼憑證影響多個互聯網應用程式及網絡裝置
風險: 中度風險
類型: 攻擊 - 其他
DigiNotar 是一間荷蘭的憑證發行機構,發行 SSL 及 EVSSL 憑證,很多互聯網應用程式及網絡裝置在信任的根憑證授權都預載了 DigiNotar 的根憑證。現時已知由 DigiNotar 所簽署的虛假憑證包括一些知名域名,例如:google.com, mozilla.com, yahoo.com, torproject.org 等。
雖然攻擊目標聲稱是針對伊朗,但黑客可以利用 DigiNotar 的根憑證為任何域名產生及簽署虛假 SSL 數碼憑證。虛假的SSL 數碼憑證可以用作彷冒內容,進行釣魚攻擊及中間人攻擊 (man-in-the-middle attacks)。很多主流的網頁瀏覽器供應商都在信任的根憑證授權內移除了 DigiNotar 的根憑證。
香港電腦保安事故協調中心一直有留意 DigiNotar 保安洩密事故引發的虛假 SSL 數碼憑證的公開報告。DigiNotar 的母公司 Vasco 在8月30日發出一份新間稿,解釋有關事故的詳情。香港電腦保安事故協調中心已在9月1日發表了一篇 DigiNotar CA 保安洩密事故釀成發出虛假憑證的網誌,以期喚起公眾關注。
影響
- 仿冒
受影響之系統或技術
- 任何預載了 DigiNotar 根憑證的互聯網應用程式及網絡裝置。
解決方案
- 透過手動移除或安裝供應商提供的修補程式來完全撤銷對 DigiNotar 根憑證的信任。
- 安裝供應商的修補程式
一般用戶:
Adobe 保安更新 APSB11-24
http://www.adobe.com/support/security/bulletins/apsb11-24.html蘋果 保安更新 2011-005
http://support.apple.com/kb/HT4920Google Chrome 版本更新
http://googlechromereleases.blogspot.com/2011/09/stable-channel-update.html微軟保安忠告 (2607712, 2616676)
http://technet.microsoft.com/en-us/security/advisory/2607712
http://support.microsoft.com/kb/2616676Mozilla 保安更新
http://blog.mozilla.com/security/category/security-updates/
IT 管理員:
CheckPoint 保安更新
http://supportcontent.checkpoint.com/solutions?id=sk65277BlueCoat 保安忠告
https://kb.bluecoat.com/index?page=content&id=SA59注意:這個不是全面的列表,IT 管理員需要為所管轄下可能受影響的主要互聯網應用程式及網絡裝置 (一般是那些需要核實更新檔案如保安特徵碼或修補程式等的系統),自行查閱更多資訊。
漏洞識別碼
- 暫無 CVE 可提供
資料來源
相關連結
- http://vasco.com/company/press_room/news_archive/2011/news_diginotar_reports_security_incident.aspx
- http://isc.sans.edu/diary.html?storyid=11560
- http://www.us-cert.gov/current/#fraudulent_diginotar_ssl_certificate
- http://blog.mozilla.com/security/2011/09/02/diginotar-removal-follow-up/
- http://support.microsoft.com/kb/2616676
- http://technet.microsoft.com/en-us/security/advisory/2607712
- http://googleonlinesecurity.blogspot.com/2011/08/update-on-attempted-man-in-middle.html
- http://support.apple.com/kb/HT4920
- http://blogs.adobe.com/psirt/2011/09/update-on-diginotar-and-the-adobe-approved-trust-list-aatl.html
分享至