恐怖 IE/Chrome/火狐/Sarari齐遭攻破

目前用户常用的几大浏览器基本上是微软Internet Explorer、Mozilla Firefox、Google Chrome以及苹果Safari,你能想象他们集体被攻破吗?

据外媒报道,韩国黑客Jung Hoon Lee日前在Pwn2Own上攻破了上述四款浏览器。

具体来说,他用缓冲区溢出竞态状态攻破了稳定版和beta版的Chrome,然后利用两个Windows内核驱动的信息泄露和竞态状态获取了系统访问权限,随后利用未初始化堆栈指针漏洞攻破了Safari。

据说Jung Hoon Lee在一天内通过这些漏洞获得了22.5万美元的奖金。

在两天比赛中,Windows曝出了5个漏洞,IE11曝出4个,Firefox曝出3个,Adobe Reader和Flash分别有3个,Safari有2个,Chrome则只有1个。

网络安全刻不容缓,选择SSL证书保驾吧!

转自:驱动之家

OpenSSL 发布多个更新版本,修复 DoS 漏洞

OpenSSL 发布了更新版本 —— 1.0.2a, 1.0.1m, 1.0.0r 和 0.9.8zf ,这些版本主要是定位 12 个缺陷,但并非所有 OpenSSL 版本都受这些问题影响。

这 12 个漏洞中最严重的是 CVE-2015-0291 ,该漏洞可导致 DoS 拒绝服务攻击,这个漏洞只影响 OpenSSL 1.0.2 分支。

如果客户端连接到一个使用 OpenSSL 1.0.2 的服务器上,并使用无效的签名算法扩展进行再次协商,那么将会触发一个删除空指针的问题,详情请看 OpenSSL 项目的 安全建议

OpenSSL 项目成员 Mark Cox 在其博客解释到:攻击者可以利用这个漏洞来进行拒绝服务攻击。不过存在该漏洞的目标数量有限,因为 OpenSSL 1.0.2 刚发布一个月,很多服务器并没有使用这个版本。

OpenSSL 同时维护了多个不同的主要版本,OpenSSL 1.0.1 的用户如果不需要一些新特性的话,无需升级到 1.0.2 版本,因为 1.0.1 版本也在继续维护中。

Source: pcadvisor

相关链接

微软警告:非法SSL证书或引发“钓鱼”攻击

3月18日消息,最近,微软在TechNet上公布了一则对于非法发放的SSL证书警告,称该证书有可能引起攻击者采用欺骗内容执行钓鱼攻击或者“中间人”攻击。 该证书目前被发放到live.fi。

这一事件将影响包括Win7/Win8.1以及WP8.1在内的所有Windows系统。不过用户也不必担心,微软已经着手更新全部Windows操作系统的证书信任列表(CTL),目前该事件风险等级较低。

微软在其官方说明中提到:一项关于撤销证书的自动更新已经启动,涉及Windows Vista、Windows7、Windows8、Windows 8.1、Windows RT、Windows RT 8.1、Windows Server 2008和Windows Server 2008 R2、Windows Server 2012和Windows Server 2012 R2,以及所有运行Windows Phone 8和Windows Phone 8.1的手机设备。涉及这些系统和设备的用户无需主动采用任何防御措施,系统将被自动保护。SSL证书,chinassl

不过,这一事件仍然会有一个潜在威胁,那就是目前仍然运行Windows Server 2003的服务器或者已经关闭自动更新的系统。在这两种情况下,用户有可能会遭受攻击。这部分用户应该手动安装KB3046310补丁来预防严重事件发生。(Source:TechNet)

SSL证书在线自助申请-CHINASSL

1.登录中国证书CHINASSL官方网站https://www.chinassl.net,选择您需要的SSL证书产品

中国证书CHINASSL网站

2.下面以comodo Positive SSL 证书为例,演示整个SSL证书够买流程。点击立刻够买

Comodo Positive SSL 证书

3.把您生成好的CSR文件粘贴到CSR文本框里面,输入您的域名管理员邮箱,点击添加到购物车

SSL证书在线够买流程

如果您还没有生成CSR文件,请点击CSR在线生成工具,生成CSR文件

注意:用户注意到在CHINASSL.NET够买证书会跳转到亚狐空间YAHUHOST,这里请不要担心,中国证书CHINASSL.NET是亚狐信息科技有限公司旗下网站,为了方便管理,所以使用了统一的客户管理系统,够买全程使用SSL加密,请放心够买。

4.信息确认无误后,点击结账

SSL证书在线够买流程

5.新客户填写用户资料,选择支付方式,点击完成订购;已有亚狐空间YAHUHOST帐号的用户,输入您的帐号密码后,点击完成订购

SSL证书在线够买流程

6.支付账单,关于支付方式详情见 在线支付 | 转账汇款

SSL证书在线够买流程

7.返回用户中心,点击导航菜单我的服务我的服务选项

SSL证书在线够买流程

8.点击证书后面的查看详情

SSL证书在线够买流程

9.点击进入SSL证书配置向导

SSL证书在线够买流程

10.填写完成所有信息,点击点此继续>>

SSL证书在线够买流程

11.确认系统识别出来的CSR信息与您申请证书的信息一致,并选择系统列出的有效证书审批者邮箱,点击点此继续>>

SSL证书在线够买流程

12.配置完成,看到此页面表明您的证书已经配置完成,稍后你的验证邮箱会收到一封来自证书颁发机构的邮件。

SSL证书在线够买流程

13.登录您的验证邮箱,检查是否收到来自证书颁发机构的邮件,收到后打开邮件,按说明点击邮件里面的链接即可完成验证。

SSL证书在线够买流程

14.复制验证代码,点击验证链接

SSL证书在线够买流程

15.粘贴验证代码,点击NEXT

SSL证书在线够买流程

16.出现Thank you页面表明已经完成验证,点击Close Window关闭该页面

SSL证书在线够买流程

至此证书已经成功够买并完成验证,域名型证书一般很快就可以签发。

查询证书

证书签发后去哪里可以查询到证书呢,这里有2种方式:

第一种

登录到你的够买邮箱(用于亚狐空间YAHUHOST登录用的邮箱)查询证书

SSL证书在线够买流程

第二种

1.登录亚狐空间YAHUHOST用户中心,点击导航菜单我的服务我的服务选项

SSL证书在线够买流程

2.点击证书后面的查看详情

SSL证书在线够买流程

3.把SSL证书与中级证书CA文件复制粘贴到文本编辑器里面,保存成后缀为.crt的文件即可使用了

SSL证书在线够买流程

其它在线工具