| 改贴/删贴 |
微软20140712证书紧急安全补丁
安全更新
|
微软20140712推送了一个紧急安全补丁,更新Windows的证书信任列表(CTL),保护用户免受利用恶意数字证书的攻击,受影响系统包括Windows Vista、Windows 7、Windows 8/8.1、Windows Phone 8/8.1。
更新方法:1、以上系统如果已经开启自动更新功能,无需操作系统会自动更新。
2、如果未开启自动更新功能则需要手动下载(KB2813430)这个补丁,安装后更新可信任的证书列表,撤销恶意证书。
【未开启系统自动更新下KB2813430是自动更新20140712这个安全补丁的前提】
KB2813430官方下载页面:http://support.microsoft.com/kb/2813430
http://support.microsoft.com/kb/2813430#appliesto
各系统KB2813430补丁的下载地址:
32位win7
http://download.microsoft.com/download/A/1/C/A1C173FC-C8E6-4DA0-A9CD-44CD64068E27/Windows6.1-KB2813430-x86.msu
64位win7
http://download.microsoft.com/download/F/D/B/FDB0E76D-2C15-45D1-A49B-BFB405008569/Windows6.1-KB2813430-x64.msu
32位win8
http://download.microsoft.com/download/6/C/7/6C79C339-1C9E-4704-951D-C4DDE130C689/Windows8-RT-KB2813430-x86.msu
64位win8
http://download.microsoft.com/download/3/1/2/3125CF4D-9F4A-48B6-95F9-2D653C5CD47E/Windows8-RT-KB2813430-x64.msu
『事件:印度国家信息安全中心NIC被发现使用Indian CCA发行的次级CA证书发行了多个假的Google和雅虎SSL证书(三个Google域名和一个雅虎域名,此外还有yahoo-inc.com、yahooapis.com、static.com和gstatic.com等)。未授权的SSL证书可被用于发动中间人攻击,如嗅探内容和钓鱼。Indian CCA被微软的Root Store所信任,伪造证书事件主要影响使用微软IE和其它Windows应用程序的用户,Firefox用户不受影响。Indian CCA已经撤销了NIC持有的次级CA证书,声称原因是NIC的证书发行系统遭到了黑客入侵。微软已经向其支持的操作系统发布了紧急更新,屏蔽了黑客发行的45个高度敏感的伪造SSL证书』
微软表示,当前还没有发现有黑客成功实施此类攻击,今后还会有更多类似的恶意证书,所以建议Windows用户尽早安装昨日发布的这个系统更新
|
| [7/27/2014 8:19:04 AM] |
|
