Microsoft behebt SSL 'Kill-Schalter"Schnitzer

2014-01-08  |  Comebuy News

Microsoft veröffentlicht erneut ein Update für Windows XP ein Snafu zu korrigieren, die Benutzer für potenzielle "Man-in-the-Middle"-Angriffe anfällig für die meisten letzten Woche gelassen.

Comebuy Verwandte Artikel: Microsoft Wiederveröffentlichungen Internet Explorer PatchThird Sicherheits-Patch für den gleichen IE-HoleMicrosoft zieht schlecht Windows PatchPatch fehlt "Finale" Firefox 2.0-UpdateBotched Windows 2000-Patch veröffentlicht

Montag 's Update adressiert ein Fauxpas, die letzte Woche als Microsoft sechs zusätzlicher Stammzertifikate, die von DigiNotar ausgestellten blockiert, die Kreuz-signiert wurden von ein paar anderen Zertifizierungsstellen (CAs) eingeführt.

Server ausführen von niederländischen Zertifizierungsstelle DigiNotar gehackt wurden, ab Juni, und Angreifer Stahl über 500 SSL (secure-Socket-Layer) Zertifikate, darunter viele von der niederländischen Regierung verwendet.

SSL-Zertifikate werden zur Webseiten und Browser eine Website als legitim--verwendet, dass gmail.com oder hotmail.com sind eigentlich das, was sie behaupten-- und illegal erhaltenen Zertifikate können missbraucht werden, um nicht autorisierte Domänen mit "Man-in-the-Middle"-Angriffe zu snoop auf digitale Kommunikation und ernten Kontoanmeldeinformationen zu verschleiern.

Ein Zertifikat von DigiNotar gestohlen wurde verwendet, um 300.000 Iraner für etwa einen Monat in diesem Sommer auszuspionieren.

Heute gab Microsoft, dass das Update, das es letzten Dienstag zu Windows XP und Server 2003-Benutzer versendet behaftet war.

"Die Versionen für Windows XP und für Windows Server 2003 enthalten nur die neuesten sechs digitalen Zertifikate von GTE und Entrust, Kreuz unterzeichnet", sagte Microsoft in einer überarbeiteten Support-Dokument. "Diese Versionen des Updates enthielt nicht die digitalen Zertifikate, die in [frühere Updates] enthalten waren."

Das frühere Update, geliefert von Microsoft auf Sept. 6, blockiert fünf DigiNotar Root-Zertifikate.

"Wenn Sie 2616676-Update installiert und nicht bereits, Update 2607712 oder Update 2524375 installiert hatte, Ihr System nicht durch die Nutzung der betrügerische digitale Zertifikate geschützt haben würde," räumte Microsoft.

Das neu veröffentlichte Update für XP und Server 2003 Windows Update hinzugefügt wurde, sagte Microsoft. Kunden, die keine automatische Updates aktiviert haben, sollten manuell herunterladen und installieren die neue Version des DigiNotar-Blocker.

Windows Vista, Windows 7, Server 2008 und Server 2008 R2 die Update-Patzer nicht betroffen waren, sagte Microsoft.

Gregg Keizer umfasst Microsoft, Sicherheitsfragen, Apple, Web-Browser und allgemeine Technik Eilmeldung für Computerworld. Folgen Sie Gregg auf Twitter, am @gkeizer, auf Google + oder Gregg's RSS Feed abonnieren. Seine E-mail-Adresse ist gkeizer@computerworld.com.

Finden Sie weitere Artikel von Gregg Keizer.

Lesen Sie mehr über Sicherheit in Computerworlds Thema Sicherheitscenter.

« Back