漏洞信息详情

Microsoft Internet Explorer NULL Byte CA SSL 证书验证安全绕过漏洞

• CNNVD编号：CNNVD-200910-218
• 危害等级： 中危
  
• CVE编号： CVE-2009-2510
• 漏洞类型： 加密问题
• 发布时间： 2009-07-30
• 威胁类型： 远程
• 更新时间： 2009-10-14
• 厂        商： microsoft
• 漏洞来源： Dan Kaminsky 和Moxi...

漏洞简介

The CryptoAPI component in Microsoft Windows 2000 SP4, Windows XP SP2 和 SP3, Windows Server 2003 SP2, Windows Vista Gold, SP1, 和SP2, Windows 服务器2008 Gold, SP2, 和R2,和 Windows 7,当在Internet Explorer及其他应用程序中运行时, 没有使当地处理X.509证书的常用名的域名中的 \'\'＼0\'\'字符。这会允许中间人攻击者可以借助一个特制的由合法验证机构颁发的证书,骗取任意SSL 服务器。该漏洞又称\"X.509的 Null Truncation常用名漏洞\"，它与CVE-2009-2408相关。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.microsoft.com/technet/security/Bulletin/MS09-056.mspx

http://support.microsoft.com/kb/974571

参考网址

来源: US-CERT

名称: TA09-286A

链接:http://www.us-cert.gov/cas/techalerts/TA09-286A.HTML

来源: MS

名称: MS09-057

链接:http://www.microsoft.com/technet/security/Bulletin/MS09-057.mspx

受影响实体

• Microsoft Windows_server_2008:R2:Itanium  
• Microsoft Windows_server_2008:R2:X64  
• Microsoft Windows_7:-:-:X32  
• Microsoft Windows_7:-:-:X64  
• Microsoft Windows_server_2008:-:Sp2:Itanium  

补丁

暂无