设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

Xboxlive数字证书私钥泄露,用户或被中间人攻击

2015-12-11 09:12| 发布者: 随便、先森。| 查看: 1077| 评论: 0

摘要: 微软确认*Xboxlive.com域名的SSL/TLS数字证书私人密钥遭到泄露,可被攻击者用于尝试发动中间人攻击,但私人密钥不能被用于签发其他证书或代码,或假冒其他域名。Xboxlive证书包含在所有的windows支持版本中,影响范 ...

微软确认*Xboxlive.com域名的SSL/TLS数字证书私人密钥遭到泄露,可被攻击者用于尝试发动中间人攻击,但私人密钥不能被用于签发其他证书或代码,或假冒其他域名。

Xboxlive证书包含在所有的windows支持版本中,影响范围非常广,但微软目前还没有发现利用私人密钥发动攻击的案例。

微软正在更新Certificate Trust list (CTL) 撤销对该证书的信任,希望每个人都能自动收到撤消Xboxlive SSL服务器证书的通知。微软公司并没有说明已经有多少人看到过证书,但很不希望密钥已被用于发动攻击。

面对这一问题大部分Windows用户没什么可做的,但Vista、windows 7、windows server 2008、windows server 2008 R2的用户需要开启自动证书更新。对于没有开启自动更新证书的用户,应该使用MMC证书管理控制台将被泄露的证书添加到不受信任证书列表中。

在申请更新之后,用户又怎么知道这个证书在不受信任证书列表之中呢?

证书撤回后的确认

对于开启自动更新受信任证书列表的Vista、windows 7、windows server 2008、windows server 2008 R2系统,windows 8、windows 8.1、windows RT、windows RT 8.1、windows server 2012、windows server 2012 R2、windows 10、windows 10 1511版本的系统,用户可以用事件查看器检查应用日志的如下字段:

Source: CAPI2
Level: Information
Event ID: 4112
Description: Successful auto update of disallowed certificate list with effective date: Tuesday, December 1, 2015 (or later).

对于没有使用自动更新证书列表的系统,要确认下面的这个证书已经添加进了不受信任证书列表之中:

* 参考来源securityaffairs


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
分享个ddos网页端反射攻击的API源码
分享个ddos网页端反
先上图 实测源码没问题 API服务器需要安装SSH2扩展库 其他的按照源码里的注释配置
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
返回顶部