Symantec API漏洞:黑客可窃取私人SSL密钥及证书
上周末,Cloud Harmonics的信息安全顾问Chris Byrne 在Facebook发布了一篇文章,主要披露了赛门铁克公司用于提供和管理Symantec SSL证书流程和第三方API中的一些严重问题。这些漏洞如果被黑客利用,将允许攻击者访问公钥和私钥,以及重新颁发或撤销证书。Chris Byrne表示,这些问题可能允许未经验证的攻击者检索其他人的SSL证书,包括公钥、私钥、重新颁发或撤销这些证书。即使没有撤销和重新颁发证书,攻击者也可以使用盗取的SSL证书对安全连接进行攻击,篡改并截获SSL流量,诱骗用户进入钓鱼网站,并让他们相信这是一个安全合法的网站。Byrne于文章中指出,他在2015年就发现了赛门铁克的证书问题,当时也反馈到赛门铁克公司并承若不泄露这些问题,而赛门铁克回应称,需要将近两年的时间才能解决。然而就在上周,谷歌透露他们打算弃用并删除赛门铁克颁发的证书的信任,这才导致Byrne公开曝光这些问题来引起人们的重视,同时谴责赛门铁克未能及时向人们提供有关这些问题的措施。对此,赛门铁克近日回应了关于API和证书漏洞的问题,并于声明中指出:“我们研究了Chris Byrne的报告,发现这并不是一个值得重现的问题,我们希望能获得更多2015年的原始研究和最新数据,来证明漏洞的危害性;此外,我们并没有收到全世界任何用户的相关投诉。我们相信,在技术上是不可能实现私有密钥被访问的问题的,此外,我们欢迎任何有助于改善安全性的反馈意见。”
页:
[1]