Microsoft s pravidelnými patchi uvedl i řešení pro falešné certifikáty DigiNotar

14. 9. 2011

Sdílet

Společnost Microsoft oficiálně uveřejnila sadu bezpečnostních updatů, o nichž prý neplánovaně unikly informace již v minulých dnech. Navíc k nim přidal i opatření týkající se falešných certifikátů holandské společnosti DigiNotar.

Jak jsme vás již podrobně informovali například zde, zde nebo zde, hackeři se vloupali do infrastruktury společnosti DigiNotar a vydali jejím jménem více než pět set digitálních certifikátů pro různé organizace jako je Google, Yahoo či Microsoft. Většina výrobců softwaru zareagovala tím, že těchto certifikátů ve svých produktech generálně zakázala.
Microsoft se rozhodl pro řešení tzv. cross-signed řešení, kdy ty, které vydal Diginotar a jsou platné, jsou potvrzeny i dalšími certifikačními autoritami, v tomto případě například firmami Entrust nebo GTE. To dovolí uživatelům je používt i v případě, že je příslušné browsery, jako třeba Firefox,  neakceptuje.

K problematice falešných certifikátů DigiNotar se vyjádřili i zástupci Symantecu. „Na těchto konkrétních případech je jasně vidět, jak důležitá jsou přísná bezpečnostní pravidla a jejich striktní dodržování provozovateli certifikačních autorit. Útočníci si vytvoří certifikát s libovolným jménem a všichni na světě ho považují za zcela legitimní. A teprve s odstupem času, až se zjistí, že došlo k prolomení ochrany certifikační autority, začne proces jeho zneplatnění. To celé ale může být dlouhá doba a během ní se útočník může dozvědět spoustu velmi cenných informací. Problém přitom není v technologii SSL nebo certifikátech samotných, ale pouze v tom, jak důsledně provozovatelé dodržují nebo nedodržují v podstatě jednoduché bezpečnostní zásady,“ dodává  Jakub Jiříček, bezpečnostní konzultant společnosti Symantec.

Zářijové bezpečnostní updaty mohou být staženy a instalovány prostřednictvím služby Microsoft Update a Windows Update nebo pomocí služebWindows Server Update.

Microsoft celkem uveřejnil patnáct zranitelností, které jsou známy v systémech Windows, Excel, SharePoint Server a Groove, a to v rámci pěti opravných balíčků.

Všech pět patchů je označeno jako "Important," tedy druhým nejzávažnějším ratingem (z celkem čtyř stupňů) Microsoftu.

ICTS24

Dvě opravy jsou určeny pro Windows, z nichž jedna se týká pouze serverové edice tohoto operačního systému (Server 2003, Server 2008 a Server 2008 R2). Ta druhá opravuje jednu nebo více chyb všech podporovaných variant Windows, tedy od XP až po Windows 7.

Další dva patche opravují zranitelnost v Excelu včetně té nejnovější verze 2010 pro Windows, resp. 2011 pro Mac. A konečně pátá oprava řešení nesrovnalosti v řešeních SharePoint, Groove či dokonce Office Web Apps, což je cloudová varianta kancelářského balíku Microsoftu.