Grosso buco nei certificati di Windows
Topic
Approfondimenti
Trending
tutti

Grosso buco nei certificati di Windows

Microsoft avverte che tutte le versioni di Windows, a partire da Win98, possono consentire ad un cracker di cancellare i certificati digitali utilizzati per cifrare e-mail, file e comunicazioni
Fintech
Microsoft avverte che tutte le versioni di Windows, a partire da Win98, possono consentire ad un cracker di cancellare i certificati digitali utilizzati per cifrare e-mail, file e comunicazioni


Redmond (USA) – Tutte le versioni di Windows a partire dalla 98, comprese la 98SE, Me, NT4, 2000 e XP, sono vulnerabili ad una grave falla di sicurezza contenuta nel controllo ActiveX che ha il compito di registrare i certificati digitali utilizzati da Windows per l’autenticazione e la protezione di informazioni, file e dati. Il certificato associa in modo protetto le chiavi crittografiche utilizzate ad esempio per crittare le e-mail, il file system o i dati protetti con il Secure Sockets Layer (SSL), un protocollo utilizzato comunemente per rendere sicure le transazioni fra utenti e siti di e-commerce.

La vulnerabilità, classificata da Microsoft come “critical”, può essere sfruttata attraverso una pagina Web malevola in grado di attivare il componente ActiveX “Certificate Enrollment Control” e utilizzarlo in modo fraudolento per cancellare uno o più certificati digitali archiviati sul computer della vittima. Il meccanismo di attacco può essere celato da un cracker all’interno di un sito Web o in una e-mail HTML.

“Un aggressore – spiega Microsoft nel bollettino di sicurezza MS02-048 – che abbia sfruttato con successo la vulnerabilità potrebbe corrompere i certificati digitali e impedire di fatto all’utente di avvalersi delle funzionalità di sicurezza e protezione dei dati o, nel caso di sistemi con Windows 2000 o XP che utilizzino l’Encrypted Files System (ESS), rendere illeggibili i file memorizzati su disco.

Microsoft ha voluto sottolineare che nonostante la gravità del problema, il processo per invocare in modo malevolo il controllo ActiveX fallato è “estremamente complesso” e, per quanto riguarda le e-mail, non può funzionare con le impostazioni di sicurezza standard di Outlook Express 6 e Outlook 2002 o in presenza, nelle versioni 98 e 2000 di Outlook, dell’aggiornamento “Outlook Email Security”.

La patch rilasciata da Microsoft per correggere la vulnerabilità, scaricabile da qui , mette anche fine ad un problema simile scoperto nel controllo ActiveX “SmartCard Enrollment” fornito con Windows 2000 e XP.

Pubblicato il 30 ago 2002

Link copiato negli appunti

Ti potrebbe interessare

Credem è la banca più solida in Europa secondo la BCE: ecco perché sceglierla

Credem è la banca più solida in Europa secondo la BCE: ecco perché sceglierla
Finom: conto aziendale online con IBAN italiano in 24 ore

Finom: conto aziendale online con IBAN italiano in 24 ore
Conio: il miglior prodotto per i principianti del mondo criptovalute

Conio: il miglior prodotto per i principianti del mondo criptovalute
El Salvador acquisterà Bitcoin anche dopo l'accordo con l'FMI

El Salvador acquisterà Bitcoin anche dopo l'accordo con l'FMI
Credem è la banca più solida in Europa secondo la BCE: ecco perché sceglierla

Credem è la banca più solida in Europa secondo la BCE: ecco perché sceglierla
Finom: conto aziendale online con IBAN italiano in 24 ore

Finom: conto aziendale online con IBAN italiano in 24 ore
Conio: il miglior prodotto per i principianti del mondo criptovalute

Conio: il miglior prodotto per i principianti del mondo criptovalute
El Salvador acquisterà Bitcoin anche dopo l'accordo con l'FMI

El Salvador acquisterà Bitcoin anche dopo l'accordo con l'FMI
Redazione
Pubblicato il
30 ago 2002
Link copiato negli appunti