tombkeeper2014-10-15 10:52Open options前一条(微博正文)说的主要是 IE。Firefox(至少从版本 32.0.3起)好像默认就不支持 SSLv3 了,所以不必特别处理。Chrome 的当前版本我还没找到禁用 SSLv3 的办法,不过听说他们打算从今天开始推送解决这个问题。 详情
tombkeeper2014-10-15 10:36Open options另外,我知道可能很多人觉得这是个打脸的绝佳鞋底,会忍不住@ 那个谁,我劝大家别这么干,没用哒。tombkeeper2014-10-15 10:34被tk转发2次Open options昨天说的 SSLv3 那个(微博正文),漏洞细节已经出来了,是设计问题,没解药。对 IE 来说,可以比较简单地改一下配置禁用 SSLv3。也可以通过修改注册表在整个 Windows 上禁用 SSLv3——这不光对 IE 有效,对其它使用 Windows 加密库的软件也有效,但对自带加密库的软件就不行了。 图片描述 by gemini-3-flash-preview详情
tombkeeper2014-10-15 10:34被tk转发2次Open options昨天说的 SSLv3 那个(微博正文),漏洞细节已经出来了,是设计问题,没解药。对 IE 来说,可以比较简单地改一下配置禁用 SSLv3。也可以通过修改注册表在整个 Windows 上禁用 SSLv3——这不光对 IE 有效,对其它使用 Windows 加密库的软件也有效,但对自带加密库的软件就不行了。 图片描述 by gemini-3-flash-preview详情
tombkeeper2014-10-15 00:50Open options除了下午说的 CVE-2014-4114 微博正文 ,本月微软补丁还会包含两个0Day:CVE-2014-4113 和 CVE-2014-4148。 CVE-2014-4148 是字体漏洞,意味着可以通过 IE 等途径利用。CVE-2014-4113 很可能是我朝的,CrowdStrike 的报告里还仔细考证了“羊驼”在我朝文化中的含义:网页链接 详情
tombkeeper2014-10-14 21:35Open options当年技术比较差,所以虽然意识到快捷方式漏洞的可怕——你一看见它漏洞就触发了,也发现了几个问题,并意识到可能有更多问题,但没能深入研究。后来有能力的时候又把这个点忘了,直到看见 Stuxnet 用的快捷方式 0Day 才想起来。另外,当年研究这个用的思路其实就是 Fuzz,可惜也没意识到 Fuzz 的价值。 图片描述 by gemini-3-flash-preview详情