近日谷歌Zero项目研究人员Tavis Ormandy报告了两个严重漏洞，其中包括卡巴斯基实验室主流防病毒产品中的SSL证书验证漏洞。

根据该漏洞报告指出，Ormandy在11月向卡巴斯基报告了这些漏洞，而卡巴斯基在12月28日发布了修复程序，尽管该漏洞的公布“因节假日而略有延误”。

这两个漏洞被Zero项目评为严重，而这两者中更为严重的是SSL证书验证漏洞，该漏洞允许攻击者通过暴力破解有效证书和恶意证书之间的碰撞轻松地执行中间人攻击。

这个问题之所以出现是因为：卡巴斯基通过从每个证书的MD5哈希的前32位生成密钥来追踪本地系统中有效SSL和传输层安全证书。这让攻击者可使用恶意证书替换有效证书来破坏SSL证书验证，因为攻击者可将恶意证书哈希的前32位匹配有效证书。

例如，攻击者首先可发送mail.google.com的真实证书来拦截受害者与谷歌邮件服务之间的所有流量。卡巴斯基程序会执行SSL证书验证，然后从真实证书的MD5哈希创建自己的32位密钥。在下一次连接到mail.google.com时，攻击者可发送攻击者网站的证书，其证书会生成与有效证书相同的32位MD5哈希。如果攻击者将域名系统请求从formail.google.com重定向到攻击者网站，卡巴斯基会开始使用其缓存证书，而攻击者已经完全控制mail.google.com。

Ormandy写道：“出于兴趣，我搜索了某些碰撞的Certificate Transparency日志。”从Hacker News网站的证书开始，Ormandy发现与曼彻斯特政府网站的重要碰撞。“你可以访问https://autodiscover.manchesterct.gov重现该漏洞，然后访问https://news.ycombinator.com来查看错误证书签名的内容。”

“如果你在曼彻斯特使用卡巴斯基防病毒软件，并且想知道为什么Hacker News有时候不起作用，”Ormandy称，“这是因为有个关键漏洞已经有效禁用全部4亿卡巴斯基用户的SSL证书验证。”

第二个漏洞的严重等级为高级别，它涉及卡巴斯基软件内证书颁发机构根证书的安全问题。这个漏洞允许非特权用户在目标系统作为可信政府颁发机构。

这并不是Ormandy和谷歌Zero项目第一次发现主流防病毒软件中出乎意料的严重漏洞。去年五月，Zero项目就报告称赛门铁克防病毒产品容易受到内核内存损坏攻击，这还不需要用户交互。

去年九月，Zero项目报告了赛门铁克防病毒软件中更严重的漏洞，该漏洞与使用未修复开源代码相关。卡巴斯基防病毒软件在2015年也曾得到Zero项目的关注，因为其中包含于内存损坏有关的漏洞，这些漏洞当解析使用不同格式的特制恶意文件时会导致内存损坏。