Comodo (科摩多)是世界上最大的证书颁发机构(CA),迄今为止在 HTTPS SSL 证书市场中处于领先地位。
近日科摩多表示 已修复 证书自动颁发程序的漏洞,目前该机构
已处理曾允许攻击者请求并成功颁发不属于自己网站证书的缺陷机制。
科摩多的自动验证程序会将 Whois 记录中注册者邮件与请求证书验证的邮件做对比,系统将域名以图片形式存储再利用图像识别技术匹配两者信息。而此次出现缺陷的原因在于 OCR 识别模块无法将小写字母 “l” 与数字 “1”、字母”o”和数字”0″区分开来,另外该组件在读取”L / 1″时,如果字符后的是数字将会当成是”1″,紧随其后的是字母则会认为是小写 “l”。研究人员以域名“altelekom.at”、“a1telekom.at”作为测试请求证书也获得了通过。
安全公司在今年 9 月通报了这个漏洞,然而调查发现漏洞在科摩多自动验证程序中存在已久,目前 Mozilla 工程师们也在积极报告处理这个问题。
稿源:本站翻译整理,封面来源:百度搜索
from hackernews.cc.thanks for it.