Windows CryptoAPI 欺骗漏洞
CVE编号
CVE-2022-34689利用情况
暂无补丁情况
N/A披露时间
2022-10-11漏洞描述
CryptoAPI 是 Windows 系统处理与加密相关事务的 API。在证书处理方面,负责读取和分析证书来验证是否经过验证的 CA。浏览器也会使用 CryptoAPI 用于 TLS 证书验证。 2022 年,美国国家安全局(NSA)和国家网络安全中心(NCSC)发现了 CryptoAPI 的一个安全漏洞,漏洞编号 CVE-2022-34689,CVSS 评分 7.5 分。攻击者利用该漏洞可以进行身份欺骗,并执行认证、以伪造的目标证书进行代码签名等行为。微软已经 2022 年 8 月修复该漏洞。 该漏洞产生的根源在于证书缓存索引密钥(certificate cache index key),该密钥是基于 MD5 的,而其安全性假设是无碰撞的。但自 2009 年起,MD5 已被证明是可碰撞的。解决建议
安装 Windows 最新安全补丁。
参考链接 |
|
|---|---|
| https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34689 | |
| https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2022-34689 |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 未更改
- 用户交互 无
- 可用性 无
- 保密性 无
- 完整性 高
| CWE-ID | 漏洞类型 |
| CWE-290 | 使用欺骗进行的认证绕过 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论