Sfaturi de siguranță (Microsoft) 2798897

Prezentare generală

Corporation TURKTRUST a stabilit în mod corespunzător două filiale CA (* .EGO.GOV.TR și e-islem.kktcmerkezbankasi.org). CA auxiliar * .EGO.GOV.TR a fost apoi utilizată pentru a emite certificate digitale frauduloase pentru * .google.com. Acest certificat fraudulos poate fi utilizat pentru a falsifica conținut, atacurile de phishing, sau atacuri, cum ar fi „omul în mijloc“ împotriva mai multor resurse web Google.

informaţii detaliate

materiale de referință

Pentru mai multe informații despre această problemă. În următoarele surse.

Studiul a constatat ca certificatele * .EGO.GOV.TR și e-islem.kktcmerkezbankasi.org au fost emise în mod incorect; nu au extensii CRL sau OCSP, iar acestea nu au fost eliberate în mod corespunzător ca certificatele de entități finale. Prin urmare, ca o măsură de precauție, ne recheamă încrederea și aceste certificate.

Are această actualizare elimină vulnerabilitatea asociate cu alte certificate digitale?
Da. În plus față de abordarea vulnerabilităților asociate cu certificate, descrise în această chestiune de sfaturi de siguranță, această actualizare cumulativă afectează certificatele digitale care sunt descrise în edițiile anterioare de sfaturi de siguranță: Sfaturi de siguranță (Microsoft) 2524375. sfaturi de siguranță (Microsoft) 2607712. Sfaturi de siguranță (Microsoft) 2641690. sfaturi de siguranță (Microsoft) 2718704 și sfaturi de siguranță (Microsoft) 2728973.

Ce este criptarea?
Criptografie - știința de protejare a informațiilor prin transformarea acesteia de la stat simplu, ușor de citit (numit „plaintext“) în ilizibil (denumit în continuare „date criptate“).

In toate formele de criptare utilizate de către o anumită valoare (numită cheie), împreună cu o anumită procedură (numită algoritmul de criptare) pentru a converti datele în datele necriptate criptate. În cel mai cunoscut tip de criptare, care se numește „criptare simetrică“, datele criptate este convertit în plaintext folosind aceeași cheie. Cu toate acestea, în al doilea tip de criptografie numit „criptare cu cheie publică“ pentru a converti datele criptate în text simplu, folosind o cheie diferită.

Ce este un „certificat digital“?
Atunci când criptarea cu cheie publică una dintre cheile, numit „cheia privată“, acesta trebuie să fie păstrate secrete. Cealaltă cheie, numită „cheia publică“, este conceput pentru partajarea cu alți utilizatori. Cu toate acestea, proprietarul cheii trebuie să fie în măsură să informeze ceilalți utilizatori căruia îi aparține. Certificatele digitale oferă această oportunitate. Certificat digital - este protejat de pachete de date interferențe exterioare, care include cheia publică și informații despre el (proprietarul, scopul, data de expirare, etc ...)

De ce să folosiți certificatele?
Practic, certificatele sunt utilizate pentru a verifica certificatul persoanei sau a dispozitivului, autentificarea unui serviciu sau a cripta fișiere. De obicei, nu trebuie să se gândească la certificatele. Dar mesaje pot să apară ca un anumit certificat este valabil sau a expirat. În astfel de cazuri, trebuie să urmați instrucțiunile din mesaj.

Ce este o autoritate de certificare (CA)?
CAs - sunt organizații care să emită certificate. Ele stabilesc și să verifice autenticitatea cheilor publice care aparțin utilizatorilor sau a altor autorități de certificare, precum și a verifica identitatea utilizatorilor sau a organizațiilor care solicită un certificat.

Ce este o listă de încredere certificat (CTL)?
Între destinatarul mesajului semnat și cei care l-au semnat, trebuie să existe o relație de încredere. O modalitate de a stabili o astfel de relație de încredere - pentru a utiliza certificatul (documentul electronic), care certifică faptul că aceste entități sau persoane corespund informațiilor declarate despre ei înșiși. Certificatul este emis de o terță parte de încredere de ambele părți. Prin urmare, fiecare destinatar al unui mesaj semnat decide dacă încrederea meritată editorul certificatului persoanei care a semnat mesajul. CryptoAPI pune în aplicare o metodologie care permite dezvoltatorilor de aplicații să creeze aplicații care verifică automat certificatele dintr-o listă prestabilită de certificate sau rădăcini de încredere. Această listă a entităților de încredere (numite subiecți) se numește o listă de încredere certificat. Pentru mai multe informații, consultați. Verificați articolul MSDN, certificat de încredere.

Ce poate zloumyshlenniks folosind aceste certificate?
Un atacator poate folosi aceste certificate pentru conținutul spoof, atacurile de phishing, sau atacuri, cum ar fi „omul în mijloc“ împotriva următoarelor resurse web:

Care este tipul de atac „om în mijloc“?
În timpul atacului de tip „om în mijloc“ atacator redirecționează traficul între doi utilizatori prin intermediul computerului lor, fără a avea nici o informație cu privire la acești doi utilizatori care interacționează. Toți cei implicați în acest utilizatorii interacțiunii de schimb involuntar de trafic cu atacatorul, gândirea care interacționează numai cu utilizatorul vizat.

Pentru sistemele care nu utilizează Actualizări automate revocate certificate într-o clipită Console (MMC) „Certificate“, asigurați-vă că folderul Certificate pentru care nu există nici o încredere adaugă următoarele certificate:

Pentru toate edițiile acceptate de Microsoft Windows

Notă. Dispozitivele care rulează Windows Phone 8 include actualizări automate revocate certificate și actualizate automat.

recomandări suplimentare

Alte informații

mulțumesc

  • Adama Lengli (Adam Langley) și echipa de securitate Google Chrome pentru a atrage atenția asupra incidentului și să lucreze împreună la răspunsul

Microsoft Protectii active Program Program (MAPP)

feedback-ul

Aviz de respingere

Rezultate: Moștenit protejate