微软：联想Superfish的安全风险问题严重

上个月在联想海外用户中引发的Superfish安全问题给联想造成了很严重的负面影响，这款预装软件会给在2014年9月至2015年2月出售的联想电脑带来“中间人（MiTM）”攻击隐患。这是由于Superfish中包含一个带有安全漏洞的自签名根证书，该漏洞是安全隐患的根源，安全风险问题非常严重。

微软和联想正在联手通过他们的MAPP和VIA合作程序控制目前局面。Superfish使用一个名为Komodia的框架来安装一项网络驱动，作为“中间人”来解密和修改网络数据使得其包含额外的广告。

通常情况下，HTTPS浏览器回话会被保护，以防范“中间人”攻击。然而Superfish能够通过以下两种方式拦截并修改浏览器安全回话：

1、在本地安装一个不受限制的自签名根证书。

2、在Superfish嵌入一个私有的键来让HTTPS内容重新签名，这一过程是在修改浏览器回话并且添加根证书之后进行的。

从用户视角来看，HTTPS安全连接是有效的。然而修改过的Web内容已经被Superfish签名，取代了合法认证内容。

通过Komodia，Superfish为每台电脑安装了相同的公用根证书，并且在传输过程中嵌入了一个私有键来重新签名内容。这也意味着相应的私有键被用来给所有受影响用户的公知内容签名。这涉及到几项重要的安全启示，并且被归类于CVE-2015-2077漏洞之下。

这一事件可以扩展到Superfish以外所有涉及到Komodia框架的拦截SSL/TLS通讯的行为。不仅如此，使用相同SSL/TLS拦截方式的应用也已经被发现易受此类攻击，并且存在类似的信任相关漏洞。（Source：TechNet）