Seguridad Social "Wish You Were Here"
Ang mga tagatangkilik ng browser at mga awtoridad ng sertipiko ay nakatuon sa isang pinagsama-samang pagsisikap upang maiwasang gamitin ang mga sertipikong SHA-1 sa web sa nakalipas na ilang taon, dahil Ang pag-andar ng hashing ay hindi na nagbibigay ng sapat na seguridad laban sa pag-spoof.
SHA-1 (Secure Hash Algorithm 1) ay itinayo noong 1995 at kilala na mahina sa mga pag-atake ng teoretikal mula noong 2005. Ang US National Institute of Standards and Technology ay ipinagbabawal ang paggamit ng SHA-1 ng mga pederal na ahensya ng US mula 2010, at ang mga awtorisadong digital na awtoridad ay hindi pinahintulutan na mag-isyu ng SHA-1-sign na mga sertipiko mula Enero 1, 2016, bagaman ang ilang mga exemption ay ginawa-halimbawa, para sa mga hindi napapanahong mga terminal ng pagbabayad .
[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]
Ang mga vendor ng browser ay nagplano mula pa noong 2015 upang i-flag ang SHA-1 na mga sertipiko bilang hindi secure at harangan ang mga ito. Ginamit ng Google Chrome at Mozilla Firefox ang isang diskarte: Simula noong maagang 2016 na-block ng mga browser ang mga sertipikong SHA-1 na ibinigay pagkatapos ng Enero 1, 2016 at simula noong Enero ngayong taon sinimulan nilang harangan ang lahat ng umiiral na mga sertipikong SHA-1, kabilang ang mga lumang na may mahabang panahon ng validity .
Ang bersyon ng Chrome 56, na inilabas noong Enero, ay nagsimula sa pag-block sa lahat ng mga sertipikong SHA-1 na naka-chain pabalik sa mga awtorisadong sertipiko ng awtoridad sa publiko. Sa bersyon 57 sinimulan din nito ang pag-block ng mga sertipikong SHA-1 na kadena pabalik sa isang lokal na root CA. Gayunpaman, nagbibigay ito ng isang mekanismo ng patakaran para sa mga organisasyon upang huwag paganahin ang paghihigpit na ito. Iyon ay dahil ang mga negosyo ay maaaring magpatakbo ng kanilang sariling mga internal infrastructure certificate na umaasa sa self-generated SHA-1 na mga sertipiko ng ugat at hindi maaaring madaling palitan ang mga ito dahil sa mga sistema ng legacy na hindi sumusuporta sa mga bagong function na hashing tulad ng SHA-2. Ang mga sertipiko na ipinakilala noong Martes sa IE at Edge ay magkakaroon lamang ng epekto sa mga sertipiko na kadena sa isang root certificate sa Programang Pinagkakatiwalaang Root ng Microsoft, sinabi ng Microsoft sa isang advisory sa seguridad.
Ang mga sertipiko ng SHA-1 ng enterprise at self-sign ay hindi maaapektuhan ngayon, ngunit ang pangmatagalang plano ng Microsoft ay upang mai-phase SHA-1 mula sa lahat ng mga usages sa Windows, kabilang ang paggamit ng pag-andar para sa pagpapatunay ng integridad ng mga na-download na file.
Update ang mga patch 13 na mga kahinaan at ina-update ang pinagkakatiwalaang mga root SSL certificate. maaaring hindi magamit sa ideya ng isang relo na nagpapahirap sa iyong digital na buhay, ngunit dapat mo: Ang unang pag-update ng Apple para sa Watch OS ay may kasamang 14 security patches, at hindi ito mahalaga.
Watch OS 1.0.1, na inilabas noong Martes, nagdudulot maraming pagpapahusay sa pagganap at suporta para sa mga karagdagang wika, ngunit inaayos din nito ang 13 mga kahinaan na maaaring paganahin ang di-makatwirang pagpapatupad ng code, pagsisiwalat ng impormasyon, pagtanggi sa serbisyo, pag-hijack ng trapiko, paglaki ng pribilehiyo at iba pang pag-atake, at pag-update din ng listahan ng mga root certificate ng CA na pinagkakatiwalaang sa pamamagitan ng default sa aparato.
Nagbigay ang Microsoft ng isang opsyonal na pag-update upang maprotektahan ang mga computer sa Windows laban sa isang atake na maaaring i-hijack ang mga wireless na mouse Sa mga batch ng kinakailangang mga patches sa seguridad na inilabas Martes, nagbigay din ang Microsoft ng isang opsyonal na pag-update na naglalayong protektahan ang mga computer sa Windows laban sa isang atake na maaaring mag-hijack ng mga wireless na mouse upang magsagawa ng mga malisyosong command.
Ang atake, na tinatawag na MouseJack, ay nakakaapekto wireless na mouse at keyboard mula sa maraming mga tagagawa, kabilang ang Microsoft. Ito ay natuklasan at ipinakita nang mas maaga sa taong ito sa pamamagitan ng mga mananaliksik ng seguridad mula sa security firm ng IoT Bastille Networks.