Girano certificati Microsoft pericolosi

Li ha rilasciati VeriSign per errore e potrebbero consentire la diffusione di virus o peggio. Un errore che sarebbe dovuto alla leggerezza di un operatore VeriSign, messo nel sacco da qualche cracker
Li ha rilasciati VeriSign per errore e potrebbero consentire la diffusione di virus o peggio. Un errore che sarebbe dovuto alla leggerezza di un operatore VeriSign, messo nel sacco da qualche cracker


Redmond (USA) – “Certificati sbagliati rilasciati da VeriSign pongono un rischio spoofing”: questo il titolo del bollettino sulla sicurezza rilasciato da Microsoft per avvertire di un errore compiuto da VeriSign che mette potenzialmente a rischio tutti gli utenti di sistemi Windows.

A quanto pare qualcuno, spacciandosi per addetto Microsoft, ha indotto un operatore VeriSign a rilasciare due certificati Microsoft alla fine di gennaio, certificati che potrebbero dunque essere utilizzati per “spacciare” in rete software aggressivo, persino virus o trojan, facendolo passare per software riconosciuto da Microsoft.

Come noto, i certificati vengono utilizzati dalle aziende convenzionate per diffondere “in sicurezza” i propri software, patch o aggiornamenti a programmi, applicazioni che con la certificazione “dichiarano” di provenire da quel determinato produttore. Una “garanzia” che per i certificati Microsoft-VeriSign rilasciati il 29 e 30 gennaio è ora sinonimo di pericolo.

Stando a Microsoft, i certificati potrebbero essere utilizzati per certificare controlli ActiveX, macro di Word e altri contenuti eseguibili. I controlli ActiveX e le macro di Word potrebbero essere diffuse anche con pagine Web o email HTML. Per evitare che l’esecuzione avvenga in automatico, l’utente dovrebbe attivare l’Office Document Open Confirmation Tool , funzione che, in pratica, “chiede una conferma” per avviare un’applicazione all’interno del browser.

Microsoft, che sta progettando una soluzione software al problema, ha specificato che della questione si sta occupando l’FBI e che, per il momento, chiunque dovesse imbattersi in un certificato datato 29 o 30 gennaio farebbe bene a comunicarlo a Microsoft a questa email . Nessun certificato con quella data, infatti, è da considerarsi legittimo. Se ci si dovesse imbattere in questi, dunque, si è sicuramente di fronte ad un utilizzo fraudolento dei certificati stessi e, come tale, potenzialmente pericoloso.

Link copiato negli appunti

Ti potrebbe interessare

22 03 2001
Link copiato negli appunti