TR-15-018 (Lenovo Bilgisayarların HTTPS Sahteciliği (HTTPS Spoofing) Zafiyeti)

Genel Bilgi

Ön Yüklemesi yapılmış “Superfish Visual Discovery” yazılımını kullanan Lenovo son kullanıcı bilgisayarlar ele geçirilmiş CA kök sertifikası üzerinden kritik güvenlik açıklığı içermektedir.

Etki

Bu güvenlik zafiyetinden faydalanılarak uzak saldırganlar; tüm şifreli internet tarayıcı trafiğini (HTTPS) okuyabilme, başarılı biçimde herhangi bir siteyi taklit etme veya etkilenen sistem üzerinde diğer saldırıları gerçekleştirebilme imkânına sahip olabilmektedir.

Çözüm

Ulusal Siber Olaylara Müdahale Merkezi (USOM), kullanıcı ve sistem yöneticilerinin VU#529496 zafiyet notunu okumalarını ve gerekli önlemleri almalarını tavsiye etmektedir.

Kaynaklar

1.https://www.us-cert.gov/ncas/alerts/TA15-051A

2.http://www.kb.cert.org/vuls/id/529496

3.https://www.us-cert.gov/ncas/current-activity/2015/02/20/Lenovo-Computers-Vulnerable-HTTPS-Spoofing

Kamuoyuna Saygıyla Duyurulur!..

2015-02-23