当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-090764

漏洞标题:支付宝安全插件导致部分EVSSL证书不能使IE地址栏变绿

相关厂商:阿里巴巴

漏洞作者: MITM

提交时间:2015-02-03 09:32

修复时间:2015-05-04 15:48

公开时间:2015-05-04 15:48

漏洞类型:设计错误/逻辑缺陷

危害等级:低

自评Rank:3

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-02-03: 细节已通知厂商并且等待厂商处理中
2015-02-03: 厂商已经确认,细节仅向厂商公开
2015-02-06: 细节向第三方安全合作伙伴开放
2015-03-30: 细节向核心白帽子及相关领域专家公开
2015-04-09: 细节向普通白帽子公开
2015-04-19: 细节向实习白帽子公开
2015-05-04: 细节向公众公开

简要描述:

不知道大家注意到没有,安装完支付宝的安全插件之后,用IE打开一些使用EVSSL证书的网站,如https://mybank.icbc.com.cn,会发现地址栏没有变绿。

详细说明:

我用Process Monitor跟踪了支付宝插件(版本号:4.6.0.3602)的安装过程,发现安装程序向 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\ROOT\Certificates 写入了三个新键值:

alipay importing cert.png


这三个新键值实质上是向操作系统导入了三个根证书:Alibaba.com Corporation Root CA 、VeriSign Class 3 Public Primary Certification Authority - G5 、UTN-USERFirst-Object。
出问题的就是那个VeriSign的证书,因为只有VeriSign签发的EVSSL证书不能让IE显示绿色地址栏,而其他CA签发的EVSSL证书均可以。原因在于,本身Windows系统中有VeriSign G5的根证书,同时系统中记录了它的EV SSL OID:

original VeriSign EV SSL OID.png


而支付宝导入了一个完全相同的证书,但是没有EV SSL OID,这直接导致了IE不能识别VeriSign的EV证书:

VeriSign EV SSL OID after installing aliedit.png


考虑到支付宝和VeriSign的用户量都很大,这个问题是有危害的。EVSSL的最大作用就是让用户明显、准确、有保障地知道所访问网站的公司名称,防止钓鱼。你们的插件使IE不显示绿色地址栏以及公司名称,这无疑使网站的反钓鱼能力下降。

漏洞证明:

安装支付宝安全插件前,打开https://mybank.icbc.com.cn,IE地址栏是绿色的:

green address bar.png


安装支付宝安全插件后,打开https://mybank.icbc.com.cn,IE地址栏是白色的:

white address bar.png


修复方案:

别导入VeriSign G5根证书。https://www.alipay.com/ 证书链的根证书就是你们导入的根证书,所以说能上得了你们官网就说明系统里已经有那个根证书。而安全插件又是从你们官网上下载的,所以导入它有什么积极用处?

版权声明:转载请注明来源 MITM@乌云


漏洞回应

厂商回应:

危害等级:低

漏洞Rank:2

确认时间:2015-02-03 15:46

厂商回复:

感谢您对阿里巴巴安全的支持,目前漏洞正在修复中。

最新状态:

暂无