漏洞概要 关注数(24) 关注此漏洞
缺陷编号:wooyun-2015-090764
漏洞标题:支付宝安全插件导致部分EVSSL证书不能使IE地址栏变绿
相关厂商:阿里巴巴
漏洞作者: MITM
提交时间:2015-02-03 09:32
修复时间:2015-05-04 15:48
公开时间:2015-05-04 15:48
漏洞类型:设计错误/逻辑缺陷
危害等级:低
自评Rank:3
漏洞状态:厂商已经确认
漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]
Tags标签: 无
漏洞详情
披露状态:
2015-02-03: 细节已通知厂商并且等待厂商处理中
2015-02-03: 厂商已经确认,细节仅向厂商公开
2015-02-06: 细节向第三方安全合作伙伴开放
2015-03-30: 细节向核心白帽子及相关领域专家公开
2015-04-09: 细节向普通白帽子公开
2015-04-19: 细节向实习白帽子公开
2015-05-04: 细节向公众公开
简要描述:
不知道大家注意到没有,安装完支付宝的安全插件之后,用IE打开一些使用EVSSL证书的网站,如https://mybank.icbc.com.cn,会发现地址栏没有变绿。
详细说明:
我用Process Monitor跟踪了支付宝插件(版本号:4.6.0.3602)的安装过程,发现安装程序向 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates 写入了三个新键值:
这三个新键值实质上是向操作系统导入了三个根证书:Alibaba.com Corporation Root CA 、VeriSign Class 3 Public Primary Certification Authority - G5 、UTN-USERFirst-Object。
出问题的就是那个VeriSign的证书,因为只有VeriSign签发的EVSSL证书不能让IE显示绿色地址栏,而其他CA签发的EVSSL证书均可以。原因在于,本身Windows系统中有VeriSign G5的根证书,同时系统中记录了它的EV SSL OID:
而支付宝导入了一个完全相同的证书,但是没有EV SSL OID,这直接导致了IE不能识别VeriSign的EV证书:
考虑到支付宝和VeriSign的用户量都很大,这个问题是有危害的。EVSSL的最大作用就是让用户明显、准确、有保障地知道所访问网站的公司名称,防止钓鱼。你们的插件使IE不显示绿色地址栏以及公司名称,这无疑使网站的反钓鱼能力下降。
漏洞证明:
安装支付宝安全插件前,打开https://mybank.icbc.com.cn,IE地址栏是绿色的:
安装支付宝安全插件后,打开https://mybank.icbc.com.cn,IE地址栏是白色的:
修复方案:
别导入VeriSign G5根证书。https://www.alipay.com/ 证书链的根证书就是你们导入的根证书,所以说能上得了你们官网就说明系统里已经有那个根证书。而安全插件又是从你们官网上下载的,所以导入它有什么积极用处?
版权声明:转载请注明来源 MITM@乌云
漏洞回应
厂商回应:
危害等级:低
漏洞Rank:2
确认时间:2015-02-03 15:46
厂商回复:
感谢您对阿里巴巴安全的支持,目前漏洞正在修复中。
最新状态:
暂无