Windows10中的錯(cuò)誤也影響Chrome瀏覽器

Windows 10中發(fā)現(xiàn)的NSA漏洞不僅會(huì)影響Microsoft操作系統(tǒng)，而且還會(huì)影響Microsoft操作系統(tǒng)。它還可以幫助掩蓋在Google Chrome瀏覽器上的黑客攻擊嘗試。

從周三開始，安全研究人員開始演示如何使用Windows 10漏洞CVE-2020-0601欺騙Chrome上官方網(wǎng)站域的受信任數(shù)字證書。

一位專家Saleem Rashid通過欺騙NSA.gov網(wǎng)站的SSL證書來做到這一點(diǎn)，該證書最早由Ars Technica報(bào)告。由于存在此漏洞，因此Google的瀏覽器會(huì)在虛假的情況下錯(cuò)誤地將證書解釋為有效。

最大的限制是Chrome嚴(yán)格的證書策略，必須緩存根CA，您可以通過訪問使用證書pic.twitter.com/GgftwVvpY8的合法站點(diǎn)來觸發(fā)

Kudelski Security的Yolan Romailler告訴PCMag，發(fā)生誤讀的原因是Chrome瀏覽器依賴Windows 10的CryptoAPI來驗(yàn)證證書。不幸的是，相同的API在審查橢圓曲線密碼學(xué)時(shí)存在嚴(yán)重的錯(cuò)誤。微軟周二警告說，您實(shí)際上可以操縱證書來欺騙該系統(tǒng)，使它認(rèn)為它是真實(shí)的，并且來自受信任的來源。

這使包括安全局官員在內(nèi)的安全專家感到震驚。該漏洞以不正確的方式使用可能會(huì)幫助黑客創(chuàng)建具有官方外觀的網(wǎng)站，而實(shí)際上，這些網(wǎng)站被設(shè)計(jì)為竊取您的信息。Romailler創(chuàng)建了一個(gè)概念驗(yàn)證，任何人都可以訪問以查看操作中的漏洞。PCMag使用一臺(tái)易受攻擊的Windows 10計(jì)算機(jī)進(jìn)行了嘗試，該演示確實(shí)可以在Chrome和Microsoft的Edge瀏覽器上運(yùn)行，但不能在Firefox上運(yùn)行，而Firefox在加載測(cè)試站點(diǎn)時(shí)將顯示連接錯(cuò)誤。