How to Automate PDF Reporting with R | R-Tip 007
Google har vidtagit åtgärder för att stänga potentiella säkerhetshål som skapats av ett bedrägligt certifikat för domänen google.com som upptäcktes i slutet av december.
Certifikatet utfärdades felaktigt av en mellanliggande certifikatmyndighet (CA) som kopplar tillbaka till TurkTrust, en turkisk CA.
"Intermediate CA-certifikat bär CA: s fullständiga auktoritet, så alla som har en kan använda den för att skapa ett certifikat för vilken webbplats som helst som de vill benämna", skrev Adam Langley, en Google-programvarutekniker, i ett blogginlägg torsdag.
[Läs vidare: Så här tar du bort skadlig kod från din Windows-dator]Google upptäckte förekomsten av certifikatet på julafton, uppdaterade sin Chrome-webbläsare nästa dag för att blockera mellanliggande CA och anmälde TurkTrust och andra webbläsare om problemet.
TurkTrust utförde sedan sin egen utredning och upptäckte att den i augusti 2011 hade felaktigt utfärdat två mellanliggande CA-certifikat till organisationer som istället skulle ha fått vanliga SSL certifikat, enligt Langley.
Google uppdaterade sedan Chrome igen för att blockera det andra CA-certifikatet och meddelade återigen andra webbläsare.
"Våra åtgärder riktade oss till det omedelbara problemet för våra användare. Med tanke på svårighetsgraden av situationen kommer vi att uppdatera Chrome igen i januari för att inte längre ange Extended Validation status för certifikat utfärdade av TurkTrust, även om anslutningar till HTTPS-validerade HTTPS-servrar kan fortsätta att tillåtas, "skrev Langley.
Google kan vidta ytterligare åtgärder som reaktion på detta problem, tillade han.
En Google-talesman sa via e-post att trots att TurkTrust felaktigt utfärdade två mellanliggande certifikat användes endast en för att skapa ett otillåtet certifikat.
"Vi tror att det var ett fall av certifikatet som används internt på ett företags nätverk, säger talesman.
För att göra detta har de utnyttjat ett fel i De digitala certifikat som används av webbplatser för att bevisa att de är vem de hävdar vara. Genom att utnyttja kända brister i MD5-hash-algoritmen som används för att skapa några av dessa certifikat, kunde forskarna hacka Verisigns certifikatmyndighet RapidSSL.com och skapa falska digitala certifikat för alla webbplatser på Internet.
Hashes används att skapa ett "fingeravtryck" för ett dokument, ett nummer som är avsett att identifiera ett visst dokument och enkelt beräknas för att verifiera att dokumentet inte har ändrats under transitering. MD5-hackningsalgoritmen är dock felaktig, vilket gör det möjligt att skapa två olika dokument som har samma hashvärde. Så här kan någon skapa ett certifikat för en phishing-webbplats som har samma fingeravtryck som certifikatet för den äkta sajten.
SSL-certproblemet rapporterades vid förra veckans Black Hat-säkerhetskonferens, och kan tillåta en angripare att använda ett "null termination" -certifikat för att fånga SSL-kommunikation mellan webbläsaren och en webbplats. Sådan trafik är normalt krypterad så att den bara skulle uppträda som okrypterbara bokstäver och siffror till alla digitala spioner, men certbuggen möjliggör en lyckad "man-in-the-middle" kapning om en angripare har tillgång till ditt nätverk.
Firefox 3.0.13 åtgärdar problemet, tillsammans med ett annat certifikatproblem som rapporterats av samma forskare, Moxie Marlinspike. Firefox 3.5 var redan skyddad från dessa fel, men en ny uppdatering av 3.5.2 uppdaterar andra säkerhetshål, inklusive en javascript-bugg som potentiellt kan riktas mot att installera skadlig kod.
Instruktioner för borttagning av eDellRoot-certifikat
I det här inlägget visas hur du fullständigt tar bort det skurkrollade eDellRoot-certifikatet från din bärbara eller stationära dator från Dell eller använda automatisk korrigering.