Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
11/11/2011
Microsoft publica una actualización de seguridad en la que revoca certificados fraudulentos
Microsoft ha publicado ayer, fuera de su ciclo habitual de actualizaciones, una actualización en la que se amplía la lista de certificados fraudulentos.
En este caso, el gigante de Redmond ha revocado la confianza del certificado DigiCert Sdn.Bhd (Digicert Malaysia) y ha movido dos entidades de certificación a la lista de sitios de no confianza, ya que expidieron 22 certificados con claves débiles de 512 bits. Conoce más detalles a continuación.
Este tipo de certificados con clave débil no cumplen los requesimientos del programa de certificación raíz de Microsoft, por lo que se han revocado. Hasta ahora, el gigante de Redmond no tiene datos de que los certificados se hayan utilizado de forma fraudulenta, y ha lanzado la actualización kb2641690 disponible a través de Windows Update y también en el siguiente enlace:
- Descarga actualización kb2641690
Aunque ésta no es una vulnerabilidad explícita de Windows, sí afecta a estos sistemas operativos, ya que podría permitir a un atacante utilizar el certificado de forma fraudulenta y hacer ataques de phishing, falsificar contenidos, o realizar un ataque man-in-the-middle contra cualquier navegador.