Win7關(guān)注：聯(lián)想Superfish的安全風(fēng)險問題嚴(yán)重

Win7之家（ www.airtaxifl.com）：Win7關(guān)注：聯(lián)想Superfish的安全風(fēng)險問題嚴(yán)重

上個月在聯(lián)想海外用戶中引發(fā)的Superfish安全問題給聯(lián)想造成了很嚴(yán)重的負(fù)面影響，這款預(yù)裝軟件會給在2014年9月至2015年2月出售的聯(lián)想電腦帶來“中間人（MiTM）”攻擊隱患。這是由于Superfish中包含一個帶有安全漏洞的自簽名根證書，該漏洞是安全隱患的根源，安全風(fēng)險問題非常嚴(yán)重。

微軟和聯(lián)想正在聯(lián)手通過他們的MAPP和VIA合作程序控制目前局面。Superfish使用一個名為Komodia的框架來安裝一項網(wǎng)絡(luò)驅(qū)動，作為“中間人”來解密和修改網(wǎng)絡(luò)數(shù)據(jù)使得其包含額外的廣告。

通常情況下，HTTPS瀏覽器回話會被保護(hù)，以防范“中間人”攻擊。然而Superfish能夠通過以下兩種方式攔截并修改瀏覽器安全回話：

1、在本地安裝一個不受限制的自簽名根證書。

2、在Superfish嵌入一個私有的鍵來讓HTTPS內(nèi)容重新簽名，這一過程是在修改瀏覽器回話并且添加根證書之后進(jìn)行的。

從用戶視角來看，HTTPS安全連接是有效的。然而修改過的Web內(nèi)容已經(jīng)被Superfish簽名，取代了合法認(rèn)證內(nèi)容。

通過Komodia，Superfish為每臺電腦安裝了相同的公用根證書，并且在傳輸過程中嵌入了一個私有鍵來重新簽名內(nèi)容。這也意味著相應(yīng)的私有鍵被用來給所有受影響用戶的公知內(nèi)容簽名。這涉及到幾項重要的安全啟示，并且被歸類于CVE-2015-2077漏洞之下。

這一事件可以擴展到Superfish以外所有涉及到Komodia框架的攔截SSL/TLS通訊的行為。不僅如此，使用相同SSL/TLS攔截方式的應(yīng)用也已經(jīng)被發(fā)現(xiàn)易受此類攻擊，并且存在類似的信任相關(guān)漏洞。（Source：TechNet）