Windows si beve certificati falsi

Una nuova falla di sicurezza affligge il sistema dei certificati digitali di Windows aprendo la strada a possibili truffe e falsificazioni dell'identitÓ

Redmond (USA) - Ancora piove sui certificati digitali di Windows. Dopo la falla di sicurezza descritta la scorsa settimana, Microsoft ha ora pubblicato un nuovo advisory (MS02-050) in cui descrive la possibilitÓ, per qualsiasi persona in possesso di un certificato digitale valido, di contraffare la propria identitÓ.

Il problema nasce dal fatto che un campo previsto dallo standard dei certificati IETF X.509, il "Basic Constraints", non viene controllato in maniera corretta dall'interfaccia software di Windows chiamata CryptoAPI.

Microsoft spiega che la vulnerabilitÓ pu˛ consentire ad un aggressore di portare a compimento vari attacchi basati sulla falsificazione della propria identitÓ, come ad esempio il dirottamento di connessioni Internet criptate con il protocollo SSL, la contraffazione della firma digitale nelle e-mail, lo spoofing del sistema di autenticazione basato sui certificati in modo da elevare i propri privilegi o, ancora, la firma di e-mail malevole usando un certificato Authenticode apparentemente emesso da un'azienda verso cui l'utente ha fiducia.
Microsoft raccomanda agli amministratori di sistema di installare le patch immediatamente: queste, scaricabili da qui, sono state rilasciate per le varie versioni di Windows, dalla 98 a XP, e per le versioni Mac di Office, Internet Explorer e Outlook Express.
TAG: microsoft
48 Commenti alla Notizia Windows si beve certificati falsi
Ordina
  • Il problema che era uscito fuori ad agosto era
    diverso, questo qua e' GRAVISSIMO. Basta comprarsi
    un certificato SSL da una CA nota, Verisign, RSA o
    altri, ed avvelenare il DNS di una banca, cosa non
    alla portata di tutti ma di qualcuno si'Sorride e si puo'
    sniffare il traffico di chi fa home banking, password
    come minimo. Senza che nessuno se ne accorga.
    Vi basta? E' una cosa di poco conto?
    C'e' la patch pronta ma quanti la scaricheranno?
    La maggior parte delle persone che conosco non la
    scaricheranno, preferiscono riservare la banda per
    cose piu' importanti. E' una situazione di emergenza
    secondo me destinata a durare un bel po'.
    non+autenticato
  • Sembra di leggere "Il Giornale"...

    ma quando guardate il Tg di Fede non vi sembra di essere strumentalizzati?!?

    e adesso?
    non+autenticato
  • - Scritto da: Faziosita' a gogo
    > Sembra di leggere "Il Giornale"...
    dubito tu sappia leggere...

    > ma quando guardate il Tg di Fede non vi
    > sembra di essere strumentalizzati?!?
    no, perchè se decido di guardarlo conosco i contenuti che mi verranno proposti.

    Ma quando guardi i comizi di bertinotti, rutelli, cofferati, quando vedi i girotondi di moretti e via dicendo non ti sembra di essere cretino?

    non+autenticato


  • - Scritto da: Xine
    > - Scritto da: Faziosita' a gogo
    > > Sembra di leggere "Il Giornale"...
    > dubito tu sappia leggere...
    >
    > > ma quando guardate il Tg di Fede non vi
    > > sembra di essere strumentalizzati?!?
    > no, perchè se decido di guardarlo conosco i
    > contenuti che mi verranno proposti.
    >
    > Ma quando guardi i comizi di bertinotti,
    > rutelli, cofferati, quando vedi i girotondi
    > di moretti e via dicendo non ti sembra di
    > essere cretino?
    >

    grande! molti nemici molto onore...
    la legge del piu' forte!
    "mo' so' tutti cazzi vostri comunisti di m..."
    non+autenticato
  • http://www.malware.com/stench.html

    nota patetica:
    The codebase 'vulnerability' is over 2 years old. Demonstrated in
    a different form and mentioned in its current form in June 2000
    non+autenticato
  • non ne posso più di scaricare patch cumulative!
    il mio modem mi guarda male tutte le volte cha vado sul sito microsoft!
    come si disintalla il maledetto ie da windows 2000?
    non+autenticato
  • - Scritto da: inzzoso
    > non ne posso più di scaricare patch
    > cumulative!
    > il mio modem mi guarda male tutte le volte
    > cha vado sul sito microsoft!
    > come si disintalla il maledetto ie da
    > windows 2000?
    Non so....io da due annie mezzo vivo felice (ho preso un Mac!)
    Ma non siete stanchi di Microsoft e dei suoi sotto-pseudo-sistemi operativi???
    non+autenticato
  • microsoft usa un prodotto non piu commerciabile in italia http://www.apogeonline.com/webzine/2002/09/03/01/2...
    specialmente negli uffici pubblici, dato che certe applicazioni nn esiste un alternativa come
    risolvere il problema se nn obbligando M$ a dar il codice sorgente del solo sistema operativo
    (quello che e' considerato sistema operativo)

    Il punto sta che gli avvocati nn sannoi difendere neanche se stessi

    posso fare a meno di dare i miedi dati in un ufficio che usa win2000 o xp ie 5.5/6 o mediaplayer 7? 675/96 ?
    non+autenticato
  • - Scritto da: dgfrdrt
    > http://www.apogeonline.com/webzine/2002/09/03

    Lo "sveglio" Paolo Attivissimo sarebbe meglio che provasse il software di cui parla invece di essere "attivissimo" solo quando deve farsi delle seghe mentali.

    Citiamo il passo:
    ==============================
    Nella versione italiana: ?L'utente prende atto e acconsente al fatto che Microsoft possa verificare automaticamente la versione del Prodotto del Sistema Operativo e/o dei suoi componenti in uso da parte dell'utente e possa provvedere ad aggiornamenti o correzioni al Prodotto che verranno scaricati automaticamente nel computer dell'utente?.

    La parola magica è quell'?automaticamente?. Gli aggiornamenti ai sistemi operativi esistono da sempre e non sono certo un'esclusiva Microsoft. Quello che distingue le nuove licenze Microsoft è che l'installazione degli aggiornamenti non è più volontaria ma obbligatoria, e viene effettuata senza preavviso. Automaticamente, appunto. Se volete usare legalmente questi prodotti Microsoft, dovete accettare questa condizione.
    ==============================

    Forse qui l'autore s'è perso il fatto che Windows 2000 (così come XP) contiene una funziona chiamata "Automatic Updates" ("Aggiornamenti automatici" per i non anglofoni).
    Nella licenza si specifica che l'utente è a conoscenza del fatto che se abilita tale funziona allora MS potrà verificare la versione del sistema operativo (e mi sembra normale... per poter cercare gli aggiornamenti dovrà pur sapere che diavolo di windows avete installato... o deve rivolgersi alla Maga Magò?!) e dei suoi componenti (e non invece di tutti i programmi Microsoft, come afferma falsamente l'autore qualche paragrafo più su del testo che ho riportato) in modo da fornire e installare automaticamente tutti gli aggiornamenti che si rendano necessari (perchè diavolo si chiamerebbe "Aggiornamenti automatici" altrimenti...)

    Complimenti cmq a Paolo Attivissimo... in pochi riescono a rigirare la frittata quanto è riuscito a lui in questo articolo...



    > posso fare a meno di dare i miedi dati in un
    > ufficio che usa win2000 o xp ie 5.5/6 o
    > mediaplayer 7? 675/96 ?

    Prima di risponderti posso sapere di quali dati vai cianciando?


    Zeross
    non+autenticato
  • > Nella licenza si specifica che l'utente è a
    > conoscenza del fatto che se abilita tale
    > funziona allora MS potrà verificare la
    > versione del sistema operativo (e mi sembra
    > normale... per poter cercare gli
    > aggiornamenti dovrà pur sapere che diavolo
    > di windows avete installato... o deve
    > rivolgersi alla Maga Magò?!)

    non mi pare mica tanto normale... e il programma di aggiornamento che sta sul tuo pc a sapere che sistema operativo hai, a controllare che update ci sono disponibili, e a prendere quelli necessari.. perche mai dovrebbe inviare informazioni relative al tuo pc? il mio di certo non lo fa...
    non+autenticato
  • - Scritto da: qweasdzxc
    > non mi pare mica tanto normale... e il
    > programma di aggiornamento che sta sul tuo
    > pc a sapere che sistema operativo hai, a
    > controllare che update ci sono disponibili,
    > e a prendere quelli necessari.. perche mai
    > dovrebbe inviare informazioni relative al
    > tuo pc? il mio di certo non lo fa...

    Eh infatti secondo il tuo ragionamento il server di Windows Update dovrebbe inviare le informazioni su TUTTI gli aggiornamenti presenti per TUTTI i loro sistemi operativi, poi il programma locale dovrebbe filtrarli... wow... che esempio di "efficienza"!!

    Su linux il sistema di aggiornamenti funziona così? Ti dico, non me ne stupirei.
    D'altro canto mi stupirei ancor meno se si venisse a scoprire che anche lui invia i dati sulla versione del sistema installato (con annessi e connessi).


    Zeross
    non+autenticato
  • > Eh infatti secondo il tuo ragionamento il
    > server di Windows Update dovrebbe inviare le
    > informazioni su TUTTI gli aggiornamenti
    > presenti per TUTTI i loro sistemi operativi,
    > poi il programma locale dovrebbe
    > filtrarli... wow... che esempio di
    > "efficienza"!!

    sveglia, sveglia... non si va ovviamente a usare una lista di aggiornamenti disponibili che li elenca tutti dall'alba dei tempi, sono categorizzati, gli aggiornamenti di win98, di win2000, di winxp, e il programma di update, conscio del sistema operativo su cui gira, si scarica la lista di aggiornamenti che gli serve...
    nel mio caso i security updates sono liste minuscole che vengono scaricate in pochissimo tempo...

    > Su linux il sistema di aggiornamenti
    > funziona così? Ti dico, non me ne stupirei.

    no, non su linux in genere, sul mio sistema, o su qualunque altro usi apt o anche urpmi credo

    > D'altro canto mi stupirei ancor meno se si
    > venisse a scoprire che anche lui invia i
    > dati sulla versione del sistema installato
    > (con annessi e connessi).

    non invia un tubo, potrei andare a controllare i sorgenti di apt ma non ho proprio voglia... ma si tratta di scaricare una lista di roba, elaborarla, e scaricare gli aggiornamenti necessari... che schifose informazioni dovrebbe mai essere necessario mandare in giro?
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 13 discussioni)