Redmond (USA) – Ancora piove sui certificati digitali di Windows. Dopo la falla di sicurezza descritta la scorsa settimana , Microsoft ha ora pubblicato un nuovo advisory ( MS02-050 ) in cui descrive la possibilità, per qualsiasi persona in possesso di un certificato digitale valido, di contraffare la propria identità.
Il problema nasce dal fatto che un campo previsto dallo standard dei certificati IETF X.509, il “Basic Constraints”, non viene controllato in maniera corretta dall’interfaccia software di Windows chiamata CryptoAPI.
Microsoft spiega che la vulnerabilità può consentire ad un aggressore di portare a compimento vari attacchi basati sulla falsificazione della propria identità, come ad esempio il dirottamento di connessioni Internet criptate con il protocollo SSL, la contraffazione della firma digitale nelle e-mail, lo spoofing del sistema di autenticazione basato sui certificati in modo da elevare i propri privilegi o, ancora, la firma di e-mail malevole usando un certificato Authenticode apparentemente emesso da un’azienda verso cui l’utente ha fiducia.
Microsoft raccomanda agli amministratori di sistema di installare le patch immediatamente: queste, scaricabili da qui , sono state rilasciate per le varie versioni di Windows, dalla 98 a XP, e per le versioni Mac di Office, Internet Explorer e Outlook Express.