Microsoft利用Insecure HTTP链接分发安全补丁

发布时间：2022-02-22 16:47:46 所属栏目：要闻来源：互联网

导读：Microsoft Update Catalog使用Insecure HTTP链接 - 而不是HTTPS链接 - 在下载按钮上，因此从Update Catalog下载的修补程序符合Dog HTTP链接的所有安全问题，包括中间人攻击。安全研究员Stefan Kanthak，在Seclist的BugtraQ邮件列表中写作，详细说明：即使

　　Microsoft Update Catalog使用Insecure HTTP链接 - 而不是HTTPS链接 - 在下载按钮上，因此从Update Catalog下载的修补程序符合Dog HTTP链接的所有安全问题，包括中间人攻击。

　　安全研究员Stefan Kanthak，在Seclist的BugtraQ邮件列表中写作，详细说明：

　　即使您通过HTTPS链接浏览“Microsoft Update Catalog”，所有下载链接都发布了HTTP，而不是HTTPS！

　　
　　这是你得到的：

　　http://download.windowsupdate.com/c/msdownload/update/software/crup/2018/02/windows10.010-kb4087256-x64_fb4795084fa7be6b33d5e05f442dfddb7f41c4d1.msu.

　　毫无疑问，这是一个不安全的HTTP链接。

　　现在翻转到KB 4087256文章并向下滚动到表示您可以在Microsoft Update Catalog网站上获取补丁的部分。右键单击该链接，您可以看到链接指向：

　　http://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4074588

　　这是Windows Update Catalog的不安全（HTTP）入口点 - 您可以从中获取不安全（http）链接到您的更新。有点让你感到温暖和httpsfuzzy，没有？

　　Microsoft Update Catalog中可能存在一些链接，不使用HTTP进行下载链接，但我还没有碰到任何一个。

　　Günter出生称之为“默默无闻的安全”。我可以想到一些不太礼貌的描述。

　　从7月开始，谷歌将开始将HTTP网站标记为“不安全”。也许是时候微软在自己的抨击安全下载时获得系统。你想？

　　觉得星期五的kvetch来了吗？加入我们的askwoody休息室。

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!