且证书的颁发预期目的是“所有权限”，这就意味着此证书可以被黑客恶意利用，比如为木马提供数字签名。目前360云查杀系统已捕获相应的木马样本，经测试绝大多数杀毒软件无法防御和查杀此类木马。

　　

 

　　图1：带有财付通数字签名的木马样本

　　验证实例：利用财付通漏洞对记事本程序notepad.exe进行代码签名，数字签名信息如下图：

　　

 

　　图2：利用财付通漏洞为记事本程序加入财付通数字签名

　　漏洞影响：使用财付通且安装了Tenpay.com Root CA的电脑，如QQ彩钻用户、腾讯拍拍用户，以及其它接入财付通支付平台的购物网站用户。

　　防范建议：360木马防火墙能够拦截此类带有财付通数字签名的木马。同时，网民应注意防范陌生可疑的下载站提供的文件，上网购物时避免接收运行陌生人发来的文件。

　　

 

　　图2：360木马防火墙拦截“财付通木马”

　　修复方案：财付通对所颁发的数字证书进行预期目的限制，并对申请人加上必要的身份验证。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点