微软：WP手机接入恶意WiFi网络时易遭攻击

微软：WP 手机接入恶意WiFi 网络时易遭攻击微软周一警告称，Windows Phone智能手机在接入恶意WiFi 网络时易遭攻击，可导致用户证书被盗，而这些证书一般用于登录敏感的公司网络。AD ：

微软：WP 手机接入恶意WiFi 网络时易遭攻击

微软周一警告称，Windows Phone智能手机在接入恶意WiFi 网络时易遭攻击，可导致用户证书被盗，而这些证书一般用于登录敏感的公司网络。

AD ：

微软周一警告称，Windows Phone智能手机在接入恶意WiFi 网络时易遭攻击，可导致用户证书被盗，而这些证书一般用于登录敏感的公司网络。

安全漏洞存在于一个名为 PEAP-MS-CHAPv2 的WiFi 验证方案中，Windows Phone手机用户可通过这个验证方案，访问受 WiFi 保护接入 (Wi-Fi Protected Access)协议2.0版保护的无线网络。 由于微软开发的这项技术在加密方面存在缺陷，攻击者可以在Windows Phone手机连接到恶意WiFi 接入点时，获取这部手机的加密域名证书。通过利用MS-CHAPv2加密协议中的安全漏洞，攻击者可以破译这些数据。

微软在安全公告中警告称： 攻击者可以将由其控制的系统，伪装成已知WiFi 接入点，受害者的Windows Phone手机将自动与这个接入点进行身份认证，这样，攻击者就能截获有关受害者加密域名证书的信息。随后，攻击者就可以利用PEAP-MS-CHAPv2的加密漏洞，获取受害者的域名证书。

实际上，在一年多前的一次实验中，研究人员就曾对MS-CHAPv2加密方案进行过攻击。微软在安全公告中也对那次攻击做了描述，称研究人员将这个漏洞与Windows Phone手机用户的行为习惯相结合，导致设备可自动登录恶意WiFi 网络，同时还不首先验证其数字证书。当手机试图通过CHAPv2验证时，恶意网络的操作者就可以利用这个加密漏洞，获得用户名和密码。 设计了去年攻击方案的研究人员摩西 马尔林斯派克(Moxie Marlinspike)说： 如果运用得当，这应该会成为一种无缝攻击手段，

研究人员戴维 胡尔顿(David Hulton) MS-CHAPv2加密方案的攻击。

不过，微软并不打算发布一个补丁来修复这个安全漏洞。相反，该公司高管建议，在开始身份验证之前，Windows Phone 8设备用户需要一个证书来验证无线接入点。微软的安全公告也包含一些操作指导，让用户对Windows Phone设备做出专门的设置，以获得验证无线接入点可靠性的证书。

微软在安全公告中还建议，用户在不需要智能手机WiFi 连接的时候，最好将其关闭。微软表示，由于一份公开报告描述了MS-CHAP 上面的一个已知漏洞，该公司最终在周一发布了安全公告。(扬帆) 【编辑推荐】微软将下架带有严重漏洞的应用微软恶意软件研究团队发现新威胁:Bootkit Ronvix 微软：生物特征识别必将取代密码保护【责任编辑：蓝雨泪 TEL ：（010）68476606】

Wicked Cool Java中文版

本书主要介绍由Sun 微系统公司创建的Java 编程语言。

除了核心内容外，Java 还有许多免费的财富，即开放源代码的库。本书就是为了