3月24日消息，微軟今日凌晨發(fā)布了一項緊急安全更新，將新近冒出的多個欺騙性數(shù)字安全證書擋在門外，包括雅虎、谷歌等著名網(wǎng)站受此影響。不法分子可能會仿冒網(wǎng)站證書分發(fā)惡意程序或發(fā)起釣魚攻擊。金山衛(wèi)士已經(jīng)同步推送緊急補丁，請廣大用戶立刻安裝。

微軟今日凌晨發(fā)布了編號KB2524375的緊急安全更新。發(fā)布緊急更新的原因是某根證書頒發(fā)機構可能在未嚴格審核的情況下，將新證書頒發(fā)給相關機構。多個著名互聯(lián)網(wǎng)企業(yè)受此影響，如微軟Live、谷歌、雅虎、Skype、Mozilla等。

不法分子若冒領這些相關企業(yè)的證書構建惡意網(wǎng)頁，網(wǎng)民訪問這些網(wǎng)站時，系統(tǒng)可能不會有安全提醒彈出，惡意軟件就可能自動安裝在電腦上。

微軟今日在安全公告中表示，隸屬于受信任根證書頒發(fā)機構(TRCAS)的Comodo于本月16日通知微軟，有九個安全數(shù)字證書是在第三方機構未提供充分身份認證的情況下簽署的。

這批證書涉及的網(wǎng)站有：login.live.com、mail.google.com、www.google.com、login.yahoo.com (三個證書)、login.skype.com、addons.mozilla.org。

安全專家介紹，程序簽署證書是重要的安全措施，Windows默認信任若干個根證書頒發(fā)機構簽署的證書，簡單理解，就是白名單。用戶訪問這些簽署過安全證書的網(wǎng)站時，系統(tǒng)也會默認這里很安全。但如果這個證書是被人冒領的，那后果就很嚴重，惡意程序就可能因為被系統(tǒng)信任而自動安裝。

因為證書可能被冒領存在嚴重的安全風險，證書頒發(fā)機構立即通知微軟方面注銷這些錯誤簽署的證書，也就有了微軟今天的緊急更新。

目前，金山衛(wèi)士已經(jīng)同步推送編號為KB2524375的緊急補丁，請廣大用戶立刻安裝，避免可能到來的風險。