联想笔记本预装恶意程序VisualDiscovery Superfish引发了媒体的广泛关注和争议,Superfish会安装自签名证书,能对用户发动中间人攻击,甚至它使用了相同的私钥(证书密码komodia已被破解),完全可以被恶意攻击者利用。联想已在其英文网站上公布了一个详细的卸载Superfish指南,其中包括删除Superfish的根证书,从注册表中清理掉相关条目,表示它的笔记本电脑未来不会再预装Superfish。《华尔街日报》采访了联想的CTO Peter Hortensius,他表示该公司的程序员正在开发一个Superfish清理工具,预计将会在一两天内发布,工具将会清理掉Superfish的所有痕迹。Ars指出,联想的卸载指南对于Internet Explorer、Chrome和 Opera用户已经足够了,因为它们都使用了系统的证书库,但Firefox和Thunderbird使用自带的证书库,用户还需要打开这些软件的选项——>高级——>证书——>查看证书,然后选择删除Superfish的根证书。在Mozilla的bugzilla上,已有人递交了bug报告要求将 "Superfish, Inc." 的根CA证书标记为不可信任。
via Solidot
via Solidot
没有评论:
发表评论