北京時間7月7日,360安全中心發布重大安全警報稱,騰訊公司旗下財付通支付產品出現高危漏洞,導致其數字簽名證書被黑客利用制作木馬病毒,而絕大多數殺毒軟件無法防范。該漏洞將影響所有QQ彩鉆、騰訊拍拍以及接入財付通支付平臺的購物與充值網站的用戶。目前,360已將該漏洞細節提交給國家漏洞庫和騰訊公司,同時360安全衛士和360殺毒進行了緊急升級,能夠防御并查殺“財付通木馬”。
360安全專家介紹說,數字簽名相當于一個程序的“身份證”,具備有效數字簽名的程序通常被視為合法程序。而騰訊財付通漏洞是由于其數字簽名證書缺乏必要的安全機制,任何人使用手機就可以申請到;同時,該證書也沒有控制使用權限,可以為任意程序提供數字簽名。這意味著,黑客可以毫無顧忌地用財付通數字簽名制作木馬,因為除360安全衛士外,其它殺毒軟件目前尚無法有效攔截和查殺。
據驗證,財付通數字簽名在裝有財付通根證書的電腦上會自動生效(使用財付通且安裝了Tenpay.com Root CA)。因此,該漏洞主要威脅QQ彩鉆付費用戶、騰訊拍拍用戶,以及其它接入財付通支付平臺的購物和充值網站用戶,用戶量保守估計也在千萬級水平。
360安全中心監測發現,網上已經出現了帶有騰訊財付通數字簽名的木馬,感染量約為1.2萬臺電腦。從數字簽名的時間戳判斷,該木馬最早出現在7月3日中午,是一款能夠聯網下載大量木馬病毒的下載器,最明顯的中招現象是瀏覽器
推薦閱讀
“一方面我快50歲了,早該到了退休的年紀。”求伯君說他從20歲開始工作,到現在已經30年了。“另外一方面,我的精神壓力很大,從早期的程序員開始,我的工作就是寫程序,管理不是我的擅長,反而時我的弱項。” 7月7日>>>詳細閱讀
地址:http://www.sdlzkt.com/a/01/20111230/208957.html
網友點評
精彩導讀
科技快報
品牌展示