Redmond (USA) – “Certificati sbagliati rilasciati da VeriSign pongono un rischio spoofing”: questo il titolo del bollettino sulla sicurezza rilasciato da Microsoft per avvertire di un errore compiuto da VeriSign che mette potenzialmente a rischio tutti gli utenti di sistemi Windows.
A quanto pare qualcuno, spacciandosi per addetto Microsoft, ha indotto un operatore VeriSign a rilasciare due certificati Microsoft alla fine di gennaio, certificati che potrebbero dunque essere utilizzati per “spacciare” in rete software aggressivo, persino virus o trojan, facendolo passare per software riconosciuto da Microsoft.
Come noto, i certificati vengono utilizzati dalle aziende convenzionate per diffondere “in sicurezza” i propri software, patch o aggiornamenti a programmi, applicazioni che con la certificazione “dichiarano” di provenire da quel determinato produttore. Una “garanzia” che per i certificati Microsoft-VeriSign rilasciati il 29 e 30 gennaio è ora sinonimo di pericolo.
Stando a Microsoft, i certificati potrebbero essere utilizzati per certificare controlli ActiveX, macro di Word e altri contenuti eseguibili. I controlli ActiveX e le macro di Word potrebbero essere diffuse anche con pagine Web o email HTML. Per evitare che l’esecuzione avvenga in automatico, l’utente dovrebbe attivare l’Office Document Open Confirmation Tool , funzione che, in pratica, “chiede una conferma” per avviare un’applicazione all’interno del browser.
Microsoft, che sta progettando una soluzione software al problema, ha specificato che della questione si sta occupando l’FBI e che, per il momento, chiunque dovesse imbattersi in un certificato datato 29 o 30 gennaio farebbe bene a comunicarlo a Microsoft a questa email . Nessun certificato con quella data, infatti, è da considerarsi legittimo. Se ci si dovesse imbattere in questi, dunque, si è sicuramente di fronte ad un utilizzo fraudolento dei certificati stessi e, come tale, potenzialmente pericoloso.
Ti potrebbe interessare
23 mar 2001