安全研究

安全漏洞
Microsoft IE SSL 证书检查漏洞

发布日期:2000-06-07
更新日期:2000-06-08

受影响系统:
- Microsoft Internet Explorer 4.0
- Microsoft Internet Explorer 4.01
- Microsoft Internet Explorer 5.0
- Microsoft Internet Explorer 5.01
描述:

由于微软的 IE在进行SSL证书的检查时存在弱点,一个恶意web站点可以使用一个伪造的证书
冒充是另外的可信站点来与IE客户端建立连接,欺骗用户。当IE通过点击图像或者在帧中连接
到一个服务器时,IE只检查SSL证书是否是由可信的根服务商提供的,而没有验证证书有效期
以及其他内容。
另外,在同一个IE会话中,一旦成功的建立了SSL连接,对于新的SSL连接,IE将不再对证书进
行任何的检查。

<* 来源:Microsoft Security Bulletin (MS00-039) *>





建议:

微软已经就此提供了一个补丁程序,可以从下列地址下载:

http://www.microsoft.com/windows/ie/download/critical/patch7.htm


浏览次数:5897
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障