周二,微软之后更新了自己的证书信任列表(CTL)对于xboxlive.com私有密钥被泄露到网络。该公司并未说明泄漏是如何发生的,但暴露的证书被立即撤回和更换。
“微软已经知道了SSL的/ TLS的数字证书* .xboxlive.com为其私钥无意中透露,该证书可在尝试用来进行人在这方面的中间人攻击,”这家软件巨头在解释他们的咨询。
“为帮助保护客户免受潜在的欺诈性使用SSL的/ TLS数字证书,该证书已被认为不再有效,并且微软正在更新的Microsoft Windows的所有受支持版本的证书信任列表(CTL)删除的证书的信任“。
最近更新的CTL将被推到Windows的所有受支持版本。
托德·比尔兹利,安全研究经理Rapid7,叫意外泄露密码生小姐,“但整体上,用户不太可能受到不利影响,只要它们以通常的方式更新自己的本地证书信任列表”。
“这是可能的,例如密码和支付信息的私人信息在时间的私有密钥都被称为被曝光和公众的证书并没有改变,但对于大多数人来说,这似乎不太可能,”比尔兹利补充。
这是不可能的原因,比尔兹利说,是因为攻击者必须已经通过了解私钥和至少记录SSL会话一个人在这方面的中间人。
“这种情况就需要攻击者沿受害者和微软的服务器之间的路径是什么地方,”他说。
对于在移动设备上(的Windows Phone 8和8.1的Windows 10手机)上运行的Windows版本的客户;桌面(Windows 8中,8.1,RT,RT 8.1,视窗10);和服务器(服务器2012,服务器2012 R2)的CTL将自动通过CTL更新器更新。
运行Vista中,Windows 7,Windows Server 2008中,或Windows Server 2008 R2系统将需要确保他们已经安装了CTL更新服务(KB 2677070)。
虽然泄露的密钥可能已经被用来进行人在这方面的中间人攻击被撤销之前对他们来说,一定要注意它们不能用于颁发其他证书,冒充其他领域,或标志代码是很重要的,微软表示,。
“令人不安的是,微软意识到了至少一个星期密钥公开的,”比尔兹利说,并指出自12月1日的咨询指出证书已被禁止。
“不太可能是主动或被动中间人攻击,它甚至不太可能私钥发生在一个定期的补丁星期二。据我所知,事件响应不能瞬时被披露,但希望在未来公司能够更快地前进补发证书时,他们被称为受到影响。”
据相关报道,微软周二发布12个安全公告,其中九为严重级别,这解决71个漏洞。
其中较突出的漏洞是MS15-127,进行固定的缺陷,可能允许远程执行代码,如果攻击者发送特制的请求向DNS服务器。
该漏洞被赋予微软为2的利用度排名,不太可能意味着开采,但他们没有提供有关这个安全漏洞本身,而不是状态它是由DNS请求引发其它诸多细节。对于运行暴露给公众一个Microsoft DNS服务器的组织,它可能是值得包括这个补丁旁边的其他优先修复这个月 - 只是为了保持安全。
Rapid7的亚当·诺瓦克还建议MS15-124,MS15-125和MS15-128公告如需要提防的,因为他们解决自己的33个漏洞。
“由于广泛的产品这个月几乎影响所有微软用户应该警惕。通过解决根本问题,在内存如何某些功能在VBScript手柄的物体,防止跨站脚本(XSS)错误地禁用微软的更新来解决漏洞HTML属性,内容类型和跨域策略的正确实施,”诺瓦克说。
周二公布的其它补丁修复包括超过从Adobe漏洞70,超过50从苹果在iOS,Safari和观察OS。
这个故事,“私有密钥对Xbox Live的泄漏之后的Microsoft更新信任列表”最初发表CSO 。