Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/09/2011
Microsoft corrige un error en su actualización para bloquear certificados DigiNotar
Microsoft ha corregido con una nueva actualización para Windows XP el fallo de otra actualización emitida la semana pasada por la compañía que dejaba a los usuarios vulnerables a potenciales ataques “man-in-the-middle”.
La actualización defectuosa de Microsoft pretendía bloquear seis certificados raíz adicionales emitidos por DigiNotar. El motivo es que los servidores de DigiNotar, autoridad de certificación holandesa, fueron hackeados en junio y los atacantes consiguieron hacerse con unos 500 certificados digitales SSL, incluidos muchos utilizados por el gobierno de Holanda.
Ahora, Microsoft ha admitido que la actualización para Windows XP y Server 2003 contenía un fallo. "Las versiones para Windows XP y Windows Server 2003 contenían sólo los seis últimos certificados digitales" emitidos a DigiNotar por GTE y Entrust, ha explicado la compañía, "pero no contenían los certificados digitales que se incluyeron en actualizaciones anteriores". La actualización anterior a que se refiere Microsoft fue emitida por la compañía el día 6 de septiembre y bloqueaba cinco certificados más de DigiNotar.
"Si se ha instalado la actualización 2616676, pero no la 2607712 o la 2524375, los sistemas podrían no estar completamente protegidos frente al uso de certificados fraudulentos", ha admitido Microsoft. En cualquier caso, el problema no afecta a los usuarios de Windows Vista, Windows 7, Server 2008 y Server 2008 R2.
Los certificados SSL son utilizados por los websites y navegadores para identificar un determinado sitio como legítimo. Así pues, los conseguidos por los hackers podían ser aprovechados para hacer pasar desapercibidos dominios no autorizados para lanzar ataques "man-in-the-middle", en los que el atacante puede intervenir los mensajes y comunicaciones de los usuarios sin que éstos lo perciban.