如果你是我该多好,那你就会知道我有多难过,多喜欢你。 收藏本站
登陆 / 注册 搜索

阅读: 789   回复: 1

[# 网络安全] 安全研究员演示利用新披露的 Windows 高危漏洞

空谷幽兰 仗剑天涯 2020-1-23 12:01 |显示全部楼层

从前车马很慢,书信很远,一生只够爱一个人,但是可以纳很多妾啊!

精华达人 主题破百 以坛为家 论坛元老
在 NSA 警告 (https://media.defense.gov/2020/J ... PT-LIB-20190114.PDF)和微软披露了 Windows CryptoAPI(Crypt32.dll) 中的一个高危漏洞之后,安全研究员 Saleem Rashid 演示了利用漏洞的概念验证攻击 (https://arstechnica.com/informat ... s-10-vulnerability/)。

被称为 CVE-2020-0601 的加密库漏洞影响 Windows 10,Windows Server 2016 和 Windows Server 2019,可被用于欺骗网站、软件更新和 VPN 等的证书验证,将假的网站或更新识别为合法的网站或更新。

问题涉及到 Windows 验证使用椭圆曲线加密(ECC)证书的有效性方法,存在漏洞的 Windows CryptoAPI 只验证三个 ECC 参数,未能验证关键第四个参数。

该问题是微软的 ECC 实现导致的,并非是 ECC 加密算法本身有弱点。除了 Rashid 外,Kudelski Security 的研究人员也公布了漏洞利用 (https://research.kudelskisecurit ... explained-with-poc/),你可以访问这个网站 (https://whosecurve.com/)检查 Windows 系统是否仍然存在漏洞。


一起一伏 「龙战于野」 2020-1-23 12:02 |显示全部楼层

这个用户很懒,还没有填写自我介绍呢~

1、我来公布答案,请看5
2、答案请看11
3、不要生气,请看15
4、冷静,不要生气,请看13
5、首先请看2

6、不要生气,请看12
7、我只想告诉你,1会让你知道答案
8、我想告诉你的是答案在14
9、请耐心的看4
10、这是我最后一次这样做了请看7
11、当我让你看6时,我希望你不要生气
12、抱歉,请看8
13、不要生气,请看10
14、我不知道怎麽说,但请看3
15、你一定十分生气,但请看9
您需要登录后才可以回帖 登录 | 注册账号  

本版积分规则

关于本站|大事记|小黑屋|古黑论 网站统计

GMT+8, 2020-7-13 09:39 , Processed in 0.034030 second(s), 20 queries , Redis On.

© 2015-2020 GuHei.Net

Powered by Discuz! X3.4

快速回复 返回列表