谷歌雅虎等網(wǎng)站證書被冒領(lǐng) 金山衛(wèi)士緊急更新救火

3月24日消息，微軟今日凌晨發(fā)布了一項(xiàng)緊急安全更新，將新近冒出的多個(gè)欺騙性數(shù)字安全證書擋在門外，包括雅虎、谷歌等著名網(wǎng)站受此影響。不法分子可能會(huì)仿冒網(wǎng)站證書分發(fā)惡意程序或發(fā)起釣魚攻擊。金山衛(wèi)士已經(jīng)同步推送緊急補(bǔ)丁，請(qǐng)廣大用戶立刻安裝。

微軟今日凌晨發(fā)布了編號(hào)KB2524375的緊急安全更新。發(fā)布緊急更新的原因是某根證書頒發(fā)機(jī)構(gòu)可能在未嚴(yán)格審核的情況下，將新證書頒發(fā)給相關(guān)機(jī)構(gòu)。多個(gè)著名互聯(lián)網(wǎng)企業(yè)受此影響，如微軟Live、谷歌、雅虎、Skype、Mozilla等。

不法分子若冒領(lǐng)這些相關(guān)企業(yè)的證書構(gòu)建惡意網(wǎng)頁，網(wǎng)民訪問這些網(wǎng)站時(shí)，系統(tǒng)可能不會(huì)有安全提醒彈出，惡意軟件就可能自動(dòng)安裝在電腦上。

微軟今日在安全公告中表示，隸屬于受信任根證書頒發(fā)機(jī)構(gòu)(TRCAS)的Comodo于本月16日通知微軟，有九個(gè)安全數(shù)字證書是在第三方機(jī)構(gòu)未提供充分身份認(rèn)證的情況下簽署的。

這批證書涉及的網(wǎng)站有：login.live.com、mail.google.com、www.google.com、login.yahoo.com (三個(gè)證書)、login.skype.com、addons.mozilla.org。

安全專家介紹，程序簽署證書是重要的安全措施，Windows默認(rèn)信任若干個(gè)根證書頒發(fā)機(jī)構(gòu)簽署的證書，簡(jiǎn)單理解，就是白名單。用戶訪問這些簽署過安全證書的網(wǎng)站時(shí)，系統(tǒng)也會(huì)默認(rèn)這里很安全。但如果這個(gè)證書是被人冒領(lǐng)的，那后果就很嚴(yán)重，惡意程序就可能因?yàn)楸幌到y(tǒng)信任而自動(dòng)安裝。

因?yàn)樽C書可能被冒領(lǐng)存在嚴(yán)重的安全風(fēng)險(xiǎn)，證書頒發(fā)機(jī)構(gòu)立即通知微軟方面注銷這些錯(cuò)誤簽署的證書，也就有了微軟今天的緊急更新。

目前，金山衛(wèi)士已經(jīng)同步推送編號(hào)為KB2524375的緊急補(bǔ)丁，請(qǐng)廣大用戶立刻安裝，避免可能到來的風(fēng)險(xiǎn)。