Grosso buco nei certificati di Windows

Microsoft avverte che tutte le versioni di Windows, a partire da Win98, possono consentire ad un cracker di cancellare i certificati digitali utilizzati per cifrare e-mail, file e comunicazioni
Microsoft avverte che tutte le versioni di Windows, a partire da Win98, possono consentire ad un cracker di cancellare i certificati digitali utilizzati per cifrare e-mail, file e comunicazioni


Redmond (USA) – Tutte le versioni di Windows a partire dalla 98, comprese la 98SE, Me, NT4, 2000 e XP, sono vulnerabili ad una grave falla di sicurezza contenuta nel controllo ActiveX che ha il compito di registrare i certificati digitali utilizzati da Windows per l’autenticazione e la protezione di informazioni, file e dati. Il certificato associa in modo protetto le chiavi crittografiche utilizzate ad esempio per crittare le e-mail, il file system o i dati protetti con il Secure Sockets Layer (SSL), un protocollo utilizzato comunemente per rendere sicure le transazioni fra utenti e siti di e-commerce.

La vulnerabilità, classificata da Microsoft come “critical”, può essere sfruttata attraverso una pagina Web malevola in grado di attivare il componente ActiveX “Certificate Enrollment Control” e utilizzarlo in modo fraudolento per cancellare uno o più certificati digitali archiviati sul computer della vittima. Il meccanismo di attacco può essere celato da un cracker all’interno di un sito Web o in una e-mail HTML.

“Un aggressore – spiega Microsoft nel bollettino di sicurezza MS02-048 – che abbia sfruttato con successo la vulnerabilità potrebbe corrompere i certificati digitali e impedire di fatto all’utente di avvalersi delle funzionalità di sicurezza e protezione dei dati o, nel caso di sistemi con Windows 2000 o XP che utilizzino l’Encrypted Files System (ESS), rendere illeggibili i file memorizzati su disco.

Microsoft ha voluto sottolineare che nonostante la gravità del problema, il processo per invocare in modo malevolo il controllo ActiveX fallato è “estremamente complesso” e, per quanto riguarda le e-mail, non può funzionare con le impostazioni di sicurezza standard di Outlook Express 6 e Outlook 2002 o in presenza, nelle versioni 98 e 2000 di Outlook, dell’aggiornamento “Outlook Email Security”.

La patch rilasciata da Microsoft per correggere la vulnerabilità, scaricabile da qui , mette anche fine ad un problema simile scoperto nel controllo ActiveX “SmartCard Enrollment” fornito con Windows 2000 e XP.

Link copiato negli appunti

Ti potrebbe interessare

29 08 2002
Link copiato negli appunti