通过

安全公告

Microsoft 安全公告 MS00-039 - 严重

可用于“SSL 证书验证”漏洞的修补程序

发布时间: 2000 年 6 月 5 日 |更新时间:2000 年 8 月 9 日

版本: 1.1

最初发布: 2000 年 6 月 5 日

总结

Microsoft 发布了一个修补程序,用于消除 Microsoft® Internet Explorer 中的两个安全漏洞。 漏洞涉及 IE 如何处理数字证书;在一组非常令人生畏的情况下,他们可能会允许恶意网站操作员构成受信任的网站。

受影响的软件:

  • Microsoft Internet Explorer 4.x
  • Microsoft Internet Explorer 5.x
    注意: Microsoft Internet Explorer 5.01 Service Pack 1 和 Internet Explorer 5.5 不受这些漏洞的影响。

漏洞标识符

常规信息

技术详细信息

技术说明:

IE 处理数字证书的方式发现了两个漏洞:

  • 当通过映像或帧连接到安全服务器时,IE 仅验证服务器的 SSL 证书是否由受信任的根颁发 - 它不验证服务器名称或到期日期。 通过任何其他方式建立连接时,将执行所有预期的验证。
  • 即使初始验证正确进行,如果在同一 IE 会话期间使用相同的服务器建立新的 SSL 会话,IE 也不会重新验证证书。

利用这些漏洞的情况受到相当限制。 在这两种情况下,攻击者可能需要执行 DNS 缓存中毒或以物理方式替换服务器才能通过此漏洞成功执行攻击。 在第二种情况下,时间尤其重要,因为恶意用户需要在两个 SSL 会话之间的区域间破坏缓存或替换计算机。

常见问题解答

此公告的内容是什么?
Microsoft 安全公告 MS00-039 宣布了一个修补程序的可用性,该修补程序可消除 Microsoft® Internet Explorer 中的两个漏洞。 这些漏洞可能允许恶意网站操作员在非常不寻常的条件下将网站错误地解释为受信任的网站。 Microsoft 致力于保护客户的信息,并提供公告,告知客户漏洞及其可执行的操作。

漏洞的范围是什么?
这些漏洞可能允许恶意网站操作员将网站误报为受信任的网站,并与用户进行安全会话,就像他是受信任的网站一样。 漏洞难以利用,并且要求恶意用户已对通信通道拥有重大控制。 即便如此,它也代表了一个机会目标-恶意用户无法迫使任何人连接到他的服务器。

这些漏洞彼此有何关联?
漏洞仅在影响 IE 如何处理安全套接字层 (SSL) 会话中使用的数字证书方面相关。

什么是 SSL?
SSL 是一种协议,允许对 Web 会话进行加密,以提高安全性。 每当通过 IE 访问网站,并在浏览器窗口右下角看到一个类似于键的图标时,这意味着你已获得正在与站点进行 SSL 会话。

什么是数字证书以及如何在 SSL 中使用?
数字证书是一段数据,用于将公钥绑定到拥有公钥的人员或组织。 数字证书由证书颁发机构颁发,他们对证书进行数字签名,以便对其进行防篡改并保证证书的真实性。 为了使 Web 服务器通过 SSL 提供安全的 Web 会话,它必须具有数字证书。 当 Web 用户与服务器建立 SSL 会话时,用户的浏览器和服务器将执行握手过程。 此过程的简化版本继续,如下所示:

  • 服务器将其证书传递给浏览器
  • 浏览器通过验证数字签名并确保证书上的名称正确、证书尚未过期、受信任方颁发等方式对其进行验证。
  • 浏览器生成创建加密密钥材料所需的数据,使用服务器上的公钥对其进行加密,并将其发送到服务器。
  • 浏览器和服务器生成密钥并加密来自该点的所有会话流量

为什么会发生第一个漏洞?
出现第一个漏洞的原因是,如果会话通过两种方式之一设置,IE 不会执行所有预期的证书验证。 在正常情况下,IE 执行所有预期的证书验证。 但是,如果通过映像或帧内连接到服务器,IE 只会验证证书是由受信任的方颁发的。

为什么这会带来安全威胁?
它可以帮助恶意网站构成不同的网站 - 用户信任的网站。 就本身而言,漏洞不足以实现此目的,但它将是此类攻击的重要组成部分。 若要构成受信任的网站,恶意网站操作员需要实现两个目标:

  • 他需要能够说服访问他的网站的人,它实际上是一个不同的网站。
  • 他需要能够在假装的网站的掩饰中设置 SSL 会话。

此漏洞可以使他完成第二个目标,因为它将允许他的网站提供证书,并接受它,即使它与他的网站的名称不匹配。 但是,实现第一个目标将是一个单独的问题,要求恶意用户执行 DNS 中毒或物理上将计算机与另一台服务器交错。

什么是 DNS 中毒?
DNS(域名服务)是 Web 地址(例如, www.microsoft.com)转换为 IP 地址(例如 207.46.131.30)的协议。 DNS 中毒涉及向 DNS 服务器提供虚假数据,以便误导用户。 例如,运行网站 A 但想要构成网站 B 的恶意用户可能会装载 DNS 中毒攻击,以便将网站 A 的 IP 地址放入网站 B 的条目。使用“中毒”DNS 服务器查找网站 B 的用户随后将得到网站 A 的 IP 地址。 DNS 中毒是技术上困难的攻击。 即使成功,效果也仅限于特定的 DNS 服务器,并且仅持续一小段时间。 因此,即使手头有漏洞,恶意网站操作员也很难实际使用它进行攻击。

为什么会发生第二个漏洞?
出现第二个漏洞的原因是,如果后续 SSL 会话在同一 IE 会话期间使用该站点启动,则 IE 会缓存已验证的证书,并且不会重新验证同一站点中的证书。 请参考以下方案:

  • 用户启动 IE 并使用网站 A 建立 SSL 会话
  • 他结束与网站 A 的 SSL 会话,并浏览其他一些网站
  • 他返回网站 A 并建立新的 SSL 会话

建立第一个 SSL 会话时,IE 将从网站 A 验证证书(请注意,由于第一个漏洞,IE 不会完全执行此验证)。 在与网站 A 建立第二个 SSL 会话时,IE 会注意到,它以前从该网站验证了证书,并且只会使用站点提供的证书而不验证它,即使证书完全不同。

为什么这会带来安全威胁?
最简单的方法是按示例查看。 假设你刚刚完成了一个使用网站 A 的 SSL 会话,五分钟后决定使用同一站点启动另一个 SSL 会话。 现在假设在过去五分钟内,恶意用户以某种方式将服务器插在你和网站 A 之间,或者进行了 DNS 中毒攻击,伪装为网站 A。当你开始使用服务器 B 的新 SSL 会话(认为它是服务器 A),恶意用户可能会向你发送虚假证书。 该漏洞会导致 IE 不尝试验证证书,而只是盲目使用证书。 结果是与网站 B 的 SSL 会话,该会话似乎与网站 A 一起。

是否需要返回到同一站点才能公开此漏洞?
是的。 IE 在第一次使用站点的证书时正确验证该站点的证书(在上述第一个漏洞的限制内)。 仅当与同一站点(或似乎是同一站点)建立后续会话时,才会公开漏洞。

如果在两个 SSL 会话之间关闭了 IE,会发生什么情况?
不会公开漏洞。 IE 仅在缓存中已有已验证的证书时跳过证书验证。 每次关闭 IE 时,都会清除缓存。

是否有办法手动验证证书?
是的。 在 SSL 会话期间,可以通过双击屏幕右下角显示的密钥图标来查看服务器的证书。 这会让你查看颁发证书的人员、颁发证书的人员、到期日期和其他详细信息。 此外,还可以将 IE 配置为在设置任何 SSL 会话之前始终请求手动确认证书。 每当提交未由受信任方颁发的证书时,IE 将显示一条警告消息,用于检查证书并确定是否继续。 如果希望始终自行做出选择,可以通过删除 IE 中默认受信任的证书颁发机构来执行此操作,如下所示:

  • 选择“工具”,然后选择“Internet 选项”
  • 选择“内容”选项卡,然后单击“证书”
  • 选择标记为“受信任的根证书颁发机构”的选项卡,并删除这些条目。
  • 单击 “确定”

修补程序的作用是什么?
无论会话是如何建立的,修补程序都会导致 IE 在所有情况下都正确验证证书,并在每个 SSL 会话之前验证证书。

公告的“修补程序可用性”部分表示,此处讨论问题的修补程序已合并到稍后发布的修补程序中。 为什么这样做?
我们将此处讨论的问题的修补程序合并到稍后发布的修补程序中,以最大程度地减少客户需要安装的修补程序数量。 已应用 Microsoft 安全公告 MS00-055 中提供的修补程序的客户会自动受到此处讨论的漏洞的保护,无需采取任何其他操作。

如何实现使用修补程序?
知识库文章包含将修补程序应用到站点的详细说明。

在哪里可以获取修补程序?
安全公告的“修补程序可用性”部分提供了修补程序的下载位置。

如何判断是否正确安装了修补程序?
知识库文章Q254902提供了修补程序包中文件的清单。验证是否已正确安装修补程序的最简单方法是验证计算机上是否存在这些文件,并具有相同的大小和创建日期,如知识库(KB)文章中所示。

Microsoft 对此有何操作?
Microsoft 开发了一个消除漏洞的过程。

  • Microsoft 提供了一份 安全公告和本常见问题解答,可让客户详细了解漏洞和消除漏洞的过程。
  • Microsoft 已将安全公告的副本发送给所有订阅者到 Microsoft 产品安全通知服务,这是一项免费的电子邮件服务,客户可以使用该服务随时了解 Microsoft 安全公告。
  • Microsoft 发布了一 篇知识库文章 ,其中更详细地介绍了漏洞和过程。

在哪里可以找到有关安全性的最佳做法的详细信息?
Microsoft TechNet 安全 网站是获取有关 Microsoft 安全性的信息的最佳位置。

如何实现获得此问题的技术支持?
Microsoft 技术支持可以协助解决此问题或任何其他产品支持问题。

修补程序可用性

下载此修补程序的位置

  • https:注意:这些问题的修补程序已合并到随后发布的修补程序中。 有关详细信息,请参阅 Microsoft 安全公告 MS00-055 。 使用 IE 5.01 SP1 或 IE 5.5 的客户可能希望应用修补程序,即使这些版本不受此处讨论的漏洞影响:修补程序是一个全总线修补程序,可消除各种漏洞,其中一些漏洞确实会影响 IE 5.01 SP1 和 IE 5.5。

    注意: 在 IE 4.01 SP2、IE 5.01、IE 5.01 SP1 或 IE 5.5 以外的版本上安装此修补程序的客户可能会收到一条消息,指出“此系统上不需要安装此更新”。 此消息不正确。 有关详细信息,请参阅知识库(KB)文章Q254902。

有关此修补程序的其他信息

安装平台:有关此问题的详细信息, 请参阅以下参考。

  • Microsoft 知识库(知识库(KB))一文Q254902/<https:>https:

其他信息:

确认

Microsoft 感谢斯洛文尼亚 ACROS 渗透团队向我们报告此问题,并与我们合作保护客户。

支持: 这是完全支持的修补程序。 有关联系 Microsoft 技术支持的信息,请参阅 </https:>https:

安全资源:Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。

免责声明

Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。

修改:

  • 2000 年 6 月 5 日:已创建公告。
  • 2000 年 8 月 9 日:修补程序可用性部分更新为提供随后发布的修补程序的可用性,该修补程序可消除此处讨论的漏洞。

构建于 2014-04-18T13:49:36Z-07:00</https:>