微软更新私钥的Xbox Live泄漏后信任列表

本周二，微软更新了自己的证书信任列表（CTL）的私有密钥xboxlive.com被泄露到网络后。该公司没有解释如何泄漏发生，但暴露的证书立即撤销并替换。
“微软已经意识到了SSL / TLS的数字证书的* .xboxlive.com为其私钥无意中透露，证书可在尝试被用来进行人在这方面的中间人攻击”，在软件巨头解释他们咨询。

“为帮助保护客户免受潜在的欺诈性使用SSL / TLS的数字证书，该证书已被认为不再有效，微软正在更新证书信任列表（CTL），对所有支持的Microsoft Windows版本中删除证书的信任“。
最近更新的CTL将被推到Windows的所有受支持版本。
托德·比尔兹利，安全研究经理Rapid7，叫意外泄露密码生小姐“，但就整体而言，用户不太可能受到不利影响，只要更新本地证书信任列表以通常的方式。”
“这有可能是私人信息，如密码和支付信息是在当时的私钥是已知和公证书没有改变曝光，但对于大多数人来说，这似乎不太可能，”比尔兹利补充。
究其原因，它不可能，比尔兹利说，是因为攻击者必须已经意识到私钥，并通过一个人在这方面的中间人至少记录SSL会话。
“这种情况就需要攻击者沿着受害者，微软的服务器之间的路径的地方，”他说。
对于客户在移动设备上（的Windows Phone 8和8.1的Windows 10手机）上运行的Windows版本;桌面（Windows 8中，8.1，RT，RT 8.1的Windows 10）;和服务器（Server 2012中，服务器2012 R2）的CTL将被自动通过CTL更新更新。
运行Vista中，Windows 7和Windows Server 2008或Windows Server 2008 R2将需要确保他们已经安装了CTL更新服务（KB 2677070）系统。
虽然泄露的密钥可能已经被用来进行人在这方面的中间人攻击之前，他们被吊销，一定要注意，他们不能被用来执行其他证件，冒充其他领域，或代码签名很重要，微软表示， 。
“令人不安的是，微软意识到了这个关键的披露，至少一个星期，”比尔兹利说，并指出了咨询指出自12月1日的证书已被禁止。
“不太可能是主动或被动的中间人攻击，它甚至不太可能私钥碰巧在定期补丁星期二公布。据我所知，事件响应不能瞬时，而是希望在今后公司能够在补发证书时已知它们受到损害移动更快“。
据相关报道，微软周二发布12个安全公告，其中9个为严重级别，它决心71漏洞。
一个较为突出的漏洞是MS15-127，其中修复了一个漏洞，可能允许远程执行代码，如果攻击者发送了特制请求的DNS服务器。
该缺陷被赋予2由微软的可利用性级别，这意味着开采的可能性较小，但他们没有提供对缺陷本身，而不是国家，它的通过DNS请求引发其他很多细节。对于运行暴露给公众一个Microsoft DNS服务器的组织，它可能是值得包括这个补丁旁边的其他优先修复了这个月 - 仅仅停留安全。
Rapid7的亚当·诺瓦克还建议MS15-124，MS15-125和MS15-128的公告看出来，因为它们涉及33漏洞自己。
“由于广泛的产品在本月的影响几乎所有的微软用户应提高警觉。微软的更新通过解决根本问题与记忆功能如何某些VBScript中处理对象，防止交叉站点脚本（XSS）错误地禁用解决漏洞HTML属性，内容类型和跨域政策的正确执行，“诺瓦克说。
周二公布的其他补丁包括修复了Adobe的70多个漏洞，和50多个苹果在iOS，Safari和观看操作系统。

windows10激活(点击查看)工具应用