Microsoft通过Insecure HTTP链接分发给安全补丁

发布时间：2021-11-10 14:59 所属栏目：125 来源：互联网

导读：Microsoft Update Catalog使用Insecure HTTP链接 - 而不是HTTPS链接 - 在下载按钮上，因此从Update Catalog下载的修补程序符合Dog HTTP链接的所有安全问题，包括中间人攻击。安全研究员Stefan Kanthak，在Seclist的BugtraQ邮件列表中写作，详细说明：即使您

Microsoft Update Catalog使用Insecure HTTP链接 - 而不是HTTPS链接 - 在下载按钮上，因此从Update Catalog下载的修补程序符合Dog HTTP链接的所有安全问题，包括中间人攻击。

安全研究员Stefan Kanthak，在Seclist的BugtraQ邮件列表中写作，详细说明：

即使您通过HTTPS链接浏览“Microsoft Update Catalog”，所有下载链接都发布了HTTP，而不是HTTPS！

那个值得信赖的计算......微软的方式！

尽管在过去几年发送到<secult（）Microsoft Com>，但众多回复“我们”将其转发给产品组，“众多封面将其出现并没有任何发生。

在我看到自己之前，我不相信它 - 你也可以看到它。通往Microsoft Update目录。例如，点击此月份的Win10 1709累计更新KB 4087256查看此月份的链接以查看此月份的Win10 1709。

伍迪莱昂哈达
Microsoft Update Catalog使用Insecure HTTP链接来提供修补程序。

在右侧，单击任何下载按钮。您可以看到屏幕截图中显示的下载窗格。现在右键单击下载链接并选择“复制链接位置”。

这是你得到的：

http://download.windowsupdate.com/c/msdownload/update/software/crup/2018/02/windows10.010-kb4087256-x64_fb4795084fa7be6b33d5e05f442dfddb7f41c4d1.msu.

毫无疑问，这是一个不安全的HTTP链接。

现在翻转到KB 4087256文章并向下滚动到表示您可以在Microsoft Update Catalog网站上获取补丁的部分。右键单击该链接，您可以看到链接指向：

http://catalog.update.microsoft.com/v7/site/search.aspx?q=kb4074588

这是Windows Update Catalog的不安全（HTTP）入口点 - 您可以从中获取不安全（http）链接到您的更新。有点让你感到温暖和httpsfuzzy，没有？

Microsoft Update Catalog中可能存在一些链接，不使用HTTP进行下载链接，但我还没有碰到任何一个。

Günter出生称之为“默默无闻的安全”。我可以想到一些不太礼貌的描述。

从7月开始，谷歌将开始将HTTP网站标记为“不安全”。也许是时候微软在自己的抨击安全下载时获得系统。你想？

觉得星期五的kvetch来了吗？加入我们的askwoody休息室。

（编辑：ASP站长网）