漏洞起因
设计错误
危险等级
中
影响系统
Microsoft Windows XP SP3, 2003 SP2
Microsoft Windows Vista SP2
Microsoft Windows 2008 SP2,
Microsoft Windows 7 SP1
Microsoft Windows 2008 R2 SP1
Microsoft Windows 8
Microsoft Windows 2012
Microsoft Windows RT
不受影响系统
危害
远程攻击者可以利用漏洞进行网络钓鱼等攻击。
攻击所需条件
攻击者必须构建恶意WEB页,诱使用户解析。
漏洞信息
Microsoft Windows是流行的操作系统。
Microsoft Windows操作系统包含一些非法证书,这些证书由TURKTRUST公司签发,这些非法伪造的证书可用于伪造内容,执行网络钓鱼攻击或者执行中间人攻击。
TURKTRUST公司不正确创建两个附属CA((*.EGO.GOV.TR 和e-islem.kktcmerkezbankasi.org))作为末端实体证书(end-entity certs)而且没有CRL或OCSP扩展。之后*.EGO.GOV.TR附属CA有生成*.google.com的伪造数字认证证书,目前有发现正在针对多个Google web域名进行攻击。
Windows Phone 8也受此漏洞影响。
测试方法
厂商解决方案
用户可参考如下厂商提供的安全公告获得补丁信息:
http://support.microsoft.com/kb/2798897
漏洞提供者
Adam Langley and the Google Chrome Security Team
评论关闭。