专注:网络安全、系统安全、应用安全、数据库安全、运维安全,趋势分析。

安全从业者2000人超级群:187297569 沟通:1255197 技术:75140776 北京:107606822 西安:53210718 渗透:50806427 站长QQ:55984512


Mozilla 计划下周二释出更新修复中间人攻击漏洞

2016-09-18 15:31 推荐: 浏览: 8 views 评论 字号:

摘要: Mozilla 计划于9月20日(下周二)释出更新修复 Firefox 能被中间人利用向目标用户发送恶意代码的漏洞。漏洞与Mozilla实现的证书绑定(Certificate pinning)保护机制有关。证书绑定设计确保浏览器只接受特定域名或子域名的特定证书...

Mozilla 计划于9月20日(下周二)释出更新修复 Firefox 能被中间人利用向目标用户发送恶意代码的漏洞。漏洞与Mozilla实现的证书绑定(Certificate pinning)保护机制有关。证书绑定设计确保浏览器只接受特定域名或子域名的特定证书,防止伪造证书,即使那些证书是浏览器信任的CA签发的。

但研究人员发现Mozilla的实现有漏洞,允许中间人攻击者使用浏览器信任的CA签发伪造的Mozilla扩展addons.mozilla.org服务器证书,向目标用户传送恶意扩展更新。

有能力入侵CA签发伪造证书的攻击者通常被认为有国家在背后支持。

http://static.cnbetacdn.com/article/2016/0918/37f95f3beae33fb.jpg

联系站长租广告位!

中国首席信息安全官


关闭


关闭