错的不是我, 错的是世界。 收藏本站
登陆 / 注册 搜索

阅读:5K   回复: 1

安全研究员演示利用新披露的 Windows 高危漏洞

[复制链接]
空谷幽兰 踏破虚空 2020-1-23 12:01 |显示全部楼层

从前车马很慢,书信很远,一生只够爱一个人,但是可以纳很多妾啊!

精华达人 主题破百 以坛为家 论坛元老 五周年纪念
在 NSA 警告 (https://media.defense.gov/2020/J ... PT-LIB-20190114.PDF)和微软披露了 Windows CryptoAPI(Crypt32.dll) 中的一个高危漏洞之后,安全研究员 Saleem Rashid 演示了利用漏洞的概念验证攻击 (https://arstechnica.com/informat ... s-10-vulnerability/)。

被称为 CVE-2020-0601 的加密库漏洞影响 Windows 10,Windows Server 2016 和 Windows Server 2019,可被用于欺骗网站、软件更新和 VPN 等的证书验证,将假的网站或更新识别为合法的网站或更新。

问题涉及到 Windows 验证使用椭圆曲线加密(ECC)证书的有效性方法,存在漏洞的 Windows CryptoAPI 只验证三个 ECC 参数,未能验证关键第四个参数。👦‍👞🪣🤩💅

该问题是微软的 ECC 实现导致的,并非是 ECC 加密算法本身有弱点。除了 Rashid 外,Kudelski Security 的研究人员也公布了漏洞利用 (https://research.kudelskisecurit ... explained-with-poc/),你可以访问这个网站 (https://whosecurve.com/)检查 Windows 系统是否仍然存在漏洞。

上一篇
下一篇
帖子热度 4970 ℃

一起一伏 「龙战于野」 2020-1-23 12:02 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

1、我来公布答案,请看5
2、答案请看11👨‍⚕️‎🕶📞😰🤛
3、不要生气,请看15
4、冷静,不要生气,请看13
5、首先请看2

6、不要生气,请看12👵‎🩴🧬😛👂
7、我只想告诉你,1会让你知道答案
8、我想告诉你的是答案在14
9、请耐心的看4
10、这是我最后一次这样做了请看7
11、当我让你看6时,我希望你不要生气

👁🏝🥛🅱🐋‎

12、抱歉,请看8
13、不要生气,请看10
14、我不知道怎麽说,但请看3
15、你一定十分生气,但请看9
您需要登录后才可以回帖 登录 | 免费注册  

本版积分规则

快速回复 返回列表