微软3月起清除Superfish类广告软件
发布日期:2015-12-28Superfish是今年早些时候被发现预装在联想最新笔记本电脑上的广告软件。这款广告软件因为注入广告到浏览器中的方式,导致用户暴露在中间人攻击之下。在使用过程中,它使用自签证书取代了原有的SSL证书用于HTTPS加密。攻击者可以利用这个漏洞监听加密通讯,尤其是证书密码被发现以后。
微软本周表示,已经更新了广告软件的相关规则,现在这种在浏览器里建立的广告项目,只能使用浏览器的"支持的可扩展性模型,安装,执行,禁止和拆除"。微软表示,2016年3月31起,将开始检测并删除不符合的程序。
"选择权和控制权是属于用户的,我们决心予以保护。" 微软恶意软件防护中心的巴拉克·西恩和迈克尔·约翰逊写道。
联想很快修复了Superfish的问题,之后很快浏览器如Mozilla从Firefox的受信任列表中删除了该根证书。
Superfish通过一个所谓值得信赖的产品来执行SSL拦截的行为肯定是令人担忧,这就是突然给中间人攻击、DNS设置和其他网络层的攻击手法开了一道门。更糟的是,类似Superfish的广告软件不会触发中间人攻击的警告。
自签名SSL证书可以随意签发,没有第三方监督审核,不受浏览器信任,常被用于伪造证书进行中间人攻击,劫持SSL加密流量。很多软件开发商为了节约成本,采用自签名SSL证书,其实是给自己的产品埋下了一颗定时炸弹,随时可能被黑客利用。
为了让更多用户享受更安全的产品和互联网环境,沃通WoSign全球率先提供2年期的多域名免费SSL证书,受所有浏览器信任,让所有网站零成本实现SSL加密安全,无需再使用安全风险极高的自签名SSL证书。同时提醒网民,浏览器警告安全证书不受信任的情况下,千万不可继续访问该网站,以免遭受中间人攻击。
参考来源:threatpost由沃通CA编译,转载请注明来自沃通CA
文章地址:http://www.wosign.com/News/2015-1228-01.htm
相关资讯: