Grosso buco nei certificati di Windows

Microsoft avverte che tutte le versioni di Windows, a partire da Win98, possono consentire ad un cracker di cancellare i certificati digitali utilizzati per cifrare e-mail, file e comunicazioni

Redmond (USA) - Tutte le versioni di Windows a partire dalla 98, comprese la 98SE, Me, NT4, 2000 e XP, sono vulnerabili ad una grave falla di sicurezza contenuta nel controllo ActiveX che ha il compito di registrare i certificati digitali utilizzati da Windows per l'autenticazione e la protezione di informazioni, file e dati. Il certificato associa in modo protetto le chiavi crittografiche utilizzate ad esempio per crittare le e-mail, il file system o i dati protetti con il Secure Sockets Layer (SSL), un protocollo utilizzato comunemente per rendere sicure le transazioni fra utenti e siti di e-commerce.

La vulnerabilità, classificata da Microsoft come "critical", può essere sfruttata attraverso una pagina Web malevola in grado di attivare il componente ActiveX "Certificate Enrollment Control" e utilizzarlo in modo fraudolento per cancellare uno o più certificati digitali archiviati sul computer della vittima. Il meccanismo di attacco può essere celato da un cracker all'interno di un sito Web o in una e-mail HTML.

"Un aggressore - spiega Microsoft nel bollettino di sicurezza MS02-048 - che abbia sfruttato con successo la vulnerabilità potrebbe corrompere i certificati digitali e impedire di fatto all'utente di avvalersi delle funzionalità di sicurezza e protezione dei dati o, nel caso di sistemi con Windows 2000 o XP che utilizzino l'Encrypted Files System (ESS), rendere illeggibili i file memorizzati su disco.
Microsoft ha voluto sottolineare che nonostante la gravità del problema, il processo per invocare in modo malevolo il controllo ActiveX fallato è "estremamente complesso" e, per quanto riguarda le e-mail, non può funzionare con le impostazioni di sicurezza standard di Outlook Express 6 e Outlook 2002 o in presenza, nelle versioni 98 e 2000 di Outlook, dell'aggiornamento "Outlook Email Security".

La patch rilasciata da Microsoft per correggere la vulnerabilità, scaricabile da qui, mette anche fine ad un problema simile scoperto nel controllo ActiveX "SmartCard Enrollment" fornito con Windows 2000 e XP.
TAG: microsoft
22 Commenti alla Notizia Grosso buco nei certificati di Windows
Ordina


  • - Scritto da: gsam
    > chissà come maiA bocca aperta

    BUAHAHAHAHAAHHAAHHAAHHAAHAHHAAHHAHA!!
    ;)
    non+autenticato
  • Starà fixando ?
    Naaaaaaaaaaaaaaaa, ZioBill vero si gode i soldi di ZioBill fessoA bocca aperta
    non+autenticato
  • infatti sono afflitte solo le versione di win dalla 98 in su.
    usate una versione precedente e andate tranquilli!
    non+autenticato
  • Mi pare che windowZ update abbia aggiornato il mio sistema tutto da solo! Sorride

    Perché volete così male alla microsozz?
    Con linux cosa si sarebbe aggiornato da solo? nulla!!
    non+autenticato


  • - Scritto da: lANUx
    > Mi pare che windowZ update abbia aggiornato
    > il mio sistema tutto da solo! Sorride
    >
    > Perché volete così male alla microsozz?
    > Con linux cosa si sarebbe aggiornato da
    > solo? nulla!!

    forse sei un troll, sicuramente non hai mai usato una distribuzione linux decente: in tutte quelle che ho visto io c'e` l'update automatico, quindi non parlare a vanvera, grazie
    non+autenticato
  • Uh ?
    Come mai la mia distro alle 8 di mattina controlla SE c'è da scaricare qualche aggiornamento da 3 FTP differenti tra cui uno dedicato ai security updates ?
    non+autenticato


  • - Scritto da: gsam
    > Uh ?
    > Come mai la mia distro alle 8 di mattina
    > controlla SE c'è da scaricare qualche
    > aggiornamento da 3 FTP differenti tra cui
    > uno dedicato ai security updates ?

    Debian?Sorride
    non+autenticato
  • Zitto altrimenti ZioBill pensa sia una feature di Windows e va a cercare MS-Debian-Update nei siti warez.
    non+autenticato
  • Ue', lANUx, prova a cercare info su RPMDRAKE; e' della Linux Mandrake ma basta come esempio a farti capire quanto sei ingnorante (nel senso che non conosci...)

    Studia !

    - Scritto da: lANUx
    > Mi pare che windowZ update abbia aggiornato
    > il mio sistema tutto da solo! Sorride
    >
    > Perché volete così male alla microsozz?
    > Con linux cosa si sarebbe aggiornato da
    > solo? nulla!!
    non+autenticato
  • Su opera i componenti ActiveX non possono essere attivati in nessun modo, inoltre il codice che gestisce i certificati non si appoggia all'OS ma e' completamente open source (hanno fatto cosi' per non essere soggetti a nessuna restrizione sulle chiavi essendo un prodotto europeo)

    quindi alla fine chissene, basta non usare explorer e outlook che il 99.999% dei problemi di sicurezza spariscono

    non+autenticato


  • - Scritto da: mela marcia
    > Su opera i componenti ActiveX non possono
    > essere attivati in nessun modo, inoltre il
    > codice che gestisce i certificati non si
    > appoggia all'OS ma e' completamente open
    > source (hanno fatto cosi' per non essere
    > soggetti a nessuna restrizione sulle chiavi
    > essendo un prodotto europeo)
    >
    > quindi alla fine chissene, basta non usare
    > explorer e outlook che il 99.999% dei
    > problemi di sicurezza spariscono
    >
    >   
    e appaiono quelli del prodotto che usi, onestamente ti consiglierei di usare sia explorer che outlook, sono i prodotti più testati e sicuri che conosco.

    tu ti chiederai perchè, vedi con tutta la gente ansiosa di far fare figure di palta a bill, esistono fior fiore di hackers societa ecc... che testa a gratis questi due prodotti, ed e felice quando trova un buco di comunicarlo al resto del mondo, ergo la MS testa e pacca il problema , io utente furbo mi scarico la patch e sono in una botte di ferro.

    mentre tu puoi dire lo stesso probabilmente il tuo browser ha una falla ma a nessuno interessa (poca visibilità), e prima o poi rimani fregato.

    medita amico medita
    non+autenticato
  • ma te sei fuori... consigliare ad uno di installare outlook... ma skerzi veramente!
    non+autenticato


  • - Scritto da: meditare
    .....
    > e appaiono quelli del prodotto che usi,
    > onestamente ti consiglierei di usare sia
    > explorer che outlook, sono i prodotti più
    > testati e sicuri che conosco.

    Questa è degna di Zelig....
    non+autenticato

  •    
    > e appaiono quelli del prodotto che usi,

    solo che opera software corregge i buchi in pochi giorni. ms in 15 (se li tappa bene!)

    > onestamente ti consiglierei di usare sia
    > explorer che outlook, sono i prodotti più
    > testati e sicuri che conosco.

    Sorride)))))))))))

    >
    > tu ti chiederai perchè, vedi con tutta la
    > gente ansiosa di far fare figure di palta a
    > bill, esistono fior fiore di hackers societa
    > ecc... che testa a gratis questi due
    > prodotti, ed e felice quando trova un buco
    > di comunicarlo al resto del mondo, ergo la
    > MS testa e pacca il problema , io utente
    > furbo mi scarico la patch e sono in una
    > botte di ferro.

    la patch ms te la scarichi quando è pronta, magari dopo un mese. nel frattempo la botte di ferro...
    e piantiamola con la storia degli hacker cattivi che ce l'hanno tutti con bill gates, e scoprono solo i suoi bachi ma non quelli della concorrenza!
    (ma tutti quelli che odiano gates non erano solo sfigati che in realtà non sanno fare niente?)


    > mentre tu puoi dire lo stesso probabilmente
    > il tuo browser ha una falla ma a nessuno
    > interessa (poca visibilità), e prima o poi
    > rimani fregato.

    opera e mozilla, per es., avrebbero poca visibilità??? d'accordo che ie è usato dal 95% degli utenti, ma la maggioranza lo usa senza neanche sapere cos'è, e non contribuisce affatto a far scoprire i bachi.
    inoltre opera si sta diffondendo sempre di più.
    il codice di mozilla è sotto gli occhi di tutti, è molto più facile trovarne le vulnerabilità. e il fatto che sino ad oggi siano poche dimostra la bontà del prodotto.

    > medita amico medita

    ottimo consiglio.
    il mio è: continua a non usare ie e outlook!
    non+autenticato
  • - Scritto da: meditare
    > onestamente ti consiglierei di usare sia
    > explorer che outlook, sono i prodotti più
    > testati e sicuri che conosco.
    > .....
    BWHAHAHAHAHAAHAHAHAHAHAH mai letta un accozzaglia simile di cazzate sei veramente un comico nato
    non+autenticato
  • - Scritto da: meditare
    > tu ti chiederai perchè, vedi con tutta la
    > gente ansiosa di far fare figure di palta a
    > bill, esistono fior fiore di hackers societa
    > ecc... che testa a gratis questi due
    > prodotti, ed e felice quando trova un buco
    > di comunicarlo al resto del mondo, ergo la
    > MS testa e pacca il problema , io utente
    > furbo mi scarico la patch e sono in una
    > botte di ferro.

    ROTFL !
    Di la verità, sei il creatore di NimdaA bocca aperta
    non+autenticato
  • Queste notizie non fanno più scalpore.
    Un suggerimento: che ne discutiamo a fare ?
    non+autenticato
  • Scusa ma PUNTO-INFORMATICO che notizie "deve dare"?
    E se non ne vuoi discutere perche' invii messaggi nel forum?
    - Scritto da: BrUtE AiD
    > Queste notizie non fanno più scalpore.
    > Un suggerimento: che ne discutiamo a fare ?
    non+autenticato
  • - Scritto da: BrUtE AiD
    > Queste notizie non fanno più scalpore.
    > Un suggerimento: che ne discutiamo a fare ?

    Che non facciano scalpore lo dici tu! Che la Verisign (grossa partener di Microsoft) ed altre ditte facciano pagare fior di quattrini per un singolo certificato e poi scopri che questo fà acqua da tutte le parti tu non ti incazzi? Io personalmente si.
    non+autenticato
  • No, non mi incazzo.
    Ormai non mi meraviglia più...

    PI potrebbe anche parlare di altri sistemi operativi oltre che win, osx e linux !
    non+autenticato
  • le notizie non hanno il fine di fare scalpore, ma di informare...
    non+autenticato