Google,Microsoft和Yahoo修复了严重的电子新天地棋牌漏洞

US-CERT警告,使用弱DKIM签名密钥可能会使欺骗的电子新天地棋牌看起来合法

谷歌,微软和雅虎已经纠正了他们电子新天地棋牌系统中的一个加密弱点,它可以使攻击者创建经过数学安全验证的欺骗性消息。

该弱点会影响DKIM,或者 域密钥标识的新天地棋牌,主要电子新天地棋牌发件人使用的安全系统。 DKIM在电子新天地棋牌周围包裹了一个加密签名,以验证通过其发送新天地棋牌的域名,这有助于更轻松地过滤出合法新天地棋牌中的欺骗新天地棋牌。

问题在于小于1,024位的签名密钥,这可能是由于计算机功能的增强而引起的。 US-CERT说 在咨询中 星期三发布的消息称,少于1,024位的签名密钥很弱,并且已经考虑了高达RSA-768位的密钥。

一位佛罗里达大学的数学家扎卡里·哈里斯(Zachary Harris)收到了谷歌招聘人员发来的电子新天地棋牌,该电子新天地棋牌仅使用512位密钥,此问题暴露无遗。 报告发布 《连线》杂志星期三。

他认为这可能是Google的一项巧妙测试,因此将密钥分解为因素,然后使用它从Sergey Brin向Google的创始人Larry Page发送了欺骗性消息。

这不是一个测试,但实际上是一个严重的问题,可以相信可能是虚假电子新天地棋牌的问题。根据DKIM标准,密钥长度短于1,024位的电子新天地棋牌消息不一定会被拒绝。

哈里斯发现问题不仅限于谷歌,还包括微软和雅虎,据美国CERT称,到两天前,他们似乎都已解决了该问题。哈里斯告诉《连线》,他发现在PayPal,Yahoo,Amazon,eBay,Apple,Dell,LinkedIn,Twitter,SBCGlobal,US Bank,HP,Match.com和HSBC中使用了512位或768位密钥。

弱签名密钥是网络犯罪分子的福音。他们有选择地使用包含恶意链接的电子新天地棋牌将人们作为目标,以试图利用计算机的软件并安装恶意软件,这种攻击方式被称为鱼叉式网络钓鱼。如果电子新天地棋牌包含正确的DKIM签名,则很有可能最终落在收件人的收件箱中。

US-CERT还警告了另一个问题。 DKIM规范允许发送方标记它正在测试消息中的DKIM。 US-CERT说,某些接收者将“在测试模式下接受DKIM新天地棋牌,而应将其视为未经DKIM签名的新天地棋牌。”

将新闻提示和评论发送至[email protected]。在Twitter上关注我:@jeremy_kirk

版权 © 2012 IDG通讯 ,Inc.