CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

25/03/2011

Microsoft adverteix de falsos certificats digitals

Microsoft ha emés una avís de seguretat, en què informa que és conscient de 9 falsos certificats digitals emesos per Còmode, una autoritat de certificació present en el Trusted Root Certification Authorities Store.

Risc: Alt

Aquests certificats podrien ser usats per a suplantar contingut; dur a terme atacs de pesca informàtica (phishing), o atacs de tipus "man-in-the-middle", contra tots els usuaris del navegador Web, incloent-hi usuaris d'Internet Explorer.

Microsoft informa que els certificats afecten els àmbits següents:

loguet.live.Com
mail.Google.Com
www.google.com
login.yahoo.Con (3 certificats)
loguet.skype.Com
addons.Mozilla.Org
"Global Trustee"

Còmode ha revocat aquests certificats. A més, els navegadors que han habilitat el protocol OCSP (Online Certifica't Estatus Protocol) que consulta la validesa dels certificats i els bloquejaren,  estan revocats.

 

Sistemes Afectats: None Referències:

None

Solució:

Microsoft ha publicat actualitzacions per a totes les versions de Windows, per tal d’ajudar a resoldre el problema. Per a més informació sobre aquesta actualització, visiteu Microsoft Knowledge Base Article 2524375.

Mozilla també ha llançat una nova actualització de les versions 3.5 i 3.6 del seu navegador: Firefox 3.5.18 i Firefox 3.6.16, disponibles per a Windows, Mac OS i Linux. En aquestes actualitzacions s'actualitza la llista negra de certificats HTTPS fraudulents. Mes informació en Softzone.

Notes:

Avis de seguretat de Microsoft
Comunicat de Melih Abdulhayo?lu (CEO/Fundador de Comodo)

Font: Microsoft Technet

CSIRT-CV