Microsoft通过Insecure HTTP链接分发安全补丁
DCMS将数字ID政策团队放在无交易Brexit工作中
AWS推动MongoDB兼容的替代品作为许可证变化
政府宣布开发网络人才的新计划
下一个公司协作工具:播客?
橙色收购英国的救济数据
IT优先事项2019:2019年最重要优先事项的网络安全和风险管理
达沃斯2019年:为什么数据共享是AI在行业4.0中的关键
Microsoft以削减Windows 10的每月更新的大小
智能扬声器市场的迷人熟悉的游行
Microsoft部队Win101709在PC集合升级以限制遥测
数据保护实践仍然差,调查显示
Tech在第二个亚浦背舰的高级法院的聚光灯下与邮局审判
当您只安装9月份的安全性时,SharePoint Workflows Go Berly-Up
超过100所农村小学获得千兆宽带
(ISC)²投资安全劳动力的专业发展
新加坡公司为混合云实现
这是谷歌是如何为AI-Laden未来准备Android
Lucidworks CEO谈到了“数据体验”
BBC揭示了FCA规定的数据的高频率
美国担心中文准备起诉的华为恐惧下来
AXA招募后台助理AI助手
英特尔获得第二次机会吸引1.25亿美元的抗托盘罚款
英国致力于与欧盟网络安全合作伙伴合作
IT领导者必须解决一体化以支持业务生态系统
表面专业4 / Surface Book固件更新问题
Cisos在增加压力下,研究表明
HMCTS遭受了重大问题
Microsoft为其预先构建的AI服务带来了定制
可解释的ai:AI如何以及为什么“真实”?
Microsoft在3年内发出第一个Windows XP修补程序到Stymie'Wannacrypt'
勇敢的浏览器将用户的钱包打开到YouTube内容创建者
'严肃的'Twitter缺陷让黑客派遣了其他人的账户
企业敦促为敲诈勒索竞选做准备
澳大利亚政府警告区间的差距
科技部门告诉政府,数字身份政策是“迫切需要”的
Wikileaks邮寄了CIA恶意软件植入刺客和午夜的用户指南
CIO采访:IT Holden,Halfords Group
黑莓手机许可证安全技术到IoT设备制造商
ISOC警告企业不应被IPv6部署留下
O2用诺基亚ai为客户为中心的网络权力
BlockChain集成将ERP变为协作平台
微软的Windows 10更新策略显示出群体
“嘿Siri,为窃贼的人买100比特币”
避免了过去的infosec错误,敦促罗伯特汉尼曼
华为说,美国政府禁止违宪
Apple的iOS 11 GM泄漏:钱在哪里?
研究表明,2018年数字现实及股票大部分集邮扑克市场并购活动
中国网络攻击集团青铜联盟针对武器技术
Slack推出共享频道以连接跨国公司的团队
您的位置:首页 >论坛 > 电子业界 >

Microsoft通过Insecure HTTP链接分发安全补丁

2021-08-22 17:44:10 [来源]:

Microsoft Update Catalog使用Insecure HTTP链接 - 而不是HTTPS链接 - 在下载按钮上,因此从Update Catalog下载的修补程序符合Dog HTTP链接的所有安全问题,包括中间人攻击。

安全研究员Stefan Kanthak,在Seclist的BugtraQ邮件列表中写作,详细说明:

即使您通过HTTPS链接浏览“Microsoft Update Catalog”,所有下载链接都发布了HTTP,而不是HTTPS!

那个值得信赖的计算......微软的方式!

尽管在过去几年发送到<secult()Microsoft Com>,但众多回复“我们”将其转发给产品组,“众多封面将其出现并没有任何发生。

在我看到自己之前,我不相信它 - 你也可以看到它。通往Microsoft Update目录。例如,点击此月份的Win10 1709累计更新KB 4087256查看此月份的链接以查看此月份的Win10 1709。

伍迪莱昂哈达

Microsoft Update Catalog使用Insecure HTTP链接来提供修补程序。

在右侧,单击任何下载按钮。您可以看到屏幕截图中显示的下载窗格。现在右键单击下载链接并选择“复制链接位置”。

这是你得到的:

http://download.windowsupdate.com/c/msdownload/update/software/crup/2018/02/windows10.010-kb4087256-x64_fb4795084fa7be6b33d5e05f442dfddb7f41c4d1.msu.

毫无疑问,这是一个不安全的HTTP链接。

现在翻转到KB 4087256文章并向下滚动到表示您可以在Microsoft Update Catalog网站上获取补丁的部分。右键单击该链接,您可以看到链接指向:

http://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4074588

这是Windows Update Catalog的不安全(HTTP)入口点 - 您可以从中获取不安全(http)链接到您的更新。有点让你感到温暖和httpsfuzzy,没有?

Microsoft Update Catalog中可能存在一些链接,不使用HTTP进行下载链接,但我还没有碰到任何一个。

Günter出生称之为“默默无闻的安全”。我可以想到一些不太礼貌的描述。

从7月开始,谷歌将开始将HTTP网站标记为“不安全”。也许是时候微软在自己的抨击安全下载时获得系统。你想?

觉得星期五的kvetch来了吗?加入我们的askwoody休息室。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。