操逼网站免费看电影,亚洲色图片区欧美另类

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

英特爾公布可能給RSA加密機(jī)制引來攻擊的漏洞

研究人員齊聚布宜諾斯艾利斯，集中聲討B(tài)ERserk漏洞。

英特爾公司的兩位安全研究人員將于明天就他們?cè)谝粋€(gè)月前發(fā)現(xiàn)的一類高危安全漏洞進(jìn)行深入調(diào)查。具體而言，該安全漏洞允許攻擊者利用Mozilla網(wǎng)絡(luò)安全服務(wù)(簡(jiǎn)稱NSS)的密碼庫偽造RSA證書。

目前在布宜諾斯艾利斯參與安全會(huì)議的專家們將以此作為討論要點(diǎn)，希望找出上述漏洞是如何導(dǎo)致RSA密碼標(biāo)準(zhǔn)(PDCS#1 1.5版本)的Abstract Syntax Notation One(簡(jiǎn)稱ASN.1)編碼序列遭到解析、從而允許攻擊者在簽名驗(yàn)證時(shí)通過偽造簽名實(shí)施惡意活動(dòng)的。

該漏洞使得某些所謂安全連接有可能執(zhí)行中間人攻擊，這也迫使Mozilla公司于今年九月就此發(fā)布了修復(fù)補(bǔ)丁。

Mozilla公司首席技術(shù)官M(fèi)ichael Fey解釋稱，此次發(fā)現(xiàn)的漏洞之所以被定名為BERserk，是因?yàn)樗鼤?huì)在簽名驗(yàn)證過程中的ASN.1編碼消息解析階段造成安全隱患。

前面提到的編碼消息包括采用BER(即基礎(chǔ)編碼格式)或者DER(即卓越編碼格式)的編碼片段。

針對(duì)采用PKCS#1 1.5版本的設(shè)備的攻擊活動(dòng)此前就已經(jīng)浮出水面，其中包括2012年一次面向RSA SecurID 800的攻擊行為。

威脅與逆向工程研究專家Yuriy Bulygin與Alexander Matrosov將在明天于布宜諾斯艾利斯召開的Ekoparty大會(huì)上公布他們的研究成果。

這兩位安全專家將展示如何在支持跨平臺(tái)安全客戶端及服務(wù)器應(yīng)用程序開發(fā)機(jī)制的Mozilla網(wǎng)絡(luò)安全服務(wù)(簡(jiǎn)稱NSS)庫當(dāng)中偽造SSL/TLS證書。

“由于簽名填充檢查機(jī)制存在問題，這類安全漏洞允許攻擊者在不具備相關(guān)私有密鑰信息的情況下成功偽造出RSA簽名，”兩人在主題演講的內(nèi)容描述部分寫道。

他們同時(shí)指出，這種狀況與2006年由谷歌公司研究人員Daniel Bleichenbacher最早發(fā)現(xiàn)的、針對(duì)PKCS#1簽名的偽造攻擊活動(dòng)非常相似，而且同樣的情況在2012年又再次出現(xiàn)。

這種“簡(jiǎn)單”的攻擊手法已經(jīng)被證明足以令OpenSSL與火狐的NSS引擎完全暴露在SSL偽造證書的侵襲之下。

兩位安全研究人員還將詳盡介紹并展示其它一些公共BIOS與安全引導(dǎo)攻擊，其中包括用戶模式及寫保護(hù)回避機(jī)制——旨在讓與會(huì)者們更好地理解并識(shí)別出這些攻擊方式。

分享標(biāo)題：英特爾公布可能給RSA加密機(jī)制引來攻擊的漏洞
分享URL：http://m.jiaoqi3.com/article/coeecos.html

新聞中心

其他資訊