Съвети за безопасност (Microsoft) 2798897

Преглед

Corporation TURKTRUST правилно установени две дъщерно CA (* .EGO.GOV.TR и e-islem.kktcmerkezbankasi.org). След това Спомагателен CA * .EGO.GOV.TR се използва за издаване на удостоверение за измамно цифров * .google.com. Това подправен сертификат може да се използва, за да подправи съдържание, фишинг атаки или атаки като "човек по средата" срещу няколко уеб ресурси на Google.

подробна информация

референтни материали

За повече информация относно този въпрос. В следните източници.

Проучването установи, че сертификатите * .EGO.GOV.TR и e-islem.kktcmerkezbankasi.org са издадени неправилно; те нямат разширения CRL или OCSP, и те не са били правилно освободен като сертификати за крайни субекти. Поради това, като предпазна мярка, ние сме като припомня, доверието и тези сертификати.

Дали тази актуализация елиминира тази уязвимост, свързана с други цифрови сертификати?
Да. В допълнение към преодоляване на уязвимости, свързани със сертификати, описана в този брой на съвети за безопасност, тази кумулативна актуализация засяга цифрови сертификати, които са описани в предишни издания на съвети за безопасност: Съвети за безопасност (Microsoft) 2524375. Съвети за безопасност (Microsoft) 2607712. Съвети за безопасност (Microsoft) 2641690. Съвети за безопасност (Microsoft) 2718704 и съвети за безопасност (Microsoft) 2728973.

Какво е криптиране?
Криптография - науката за защита на информацията и я превръща от обикновена, четим състояние (наречено "прав текст") в нечетлив (по-нататък "шифровани данни").

При всички форми на криптиране, използван от определена стойност (наричан по ключа), заедно с определена процедура (наречена алгоритъм за криптиране) за преобразуване на данните в явен Данните, шифровани. В най-известният вид криптиране, която се нарича "симетрично криптиране", криптираните данни се превръща в обикновен текст, като се използва един и същ ключ. Въпреки това, през втория тип криптография, наречена "публичен ключ за криптиране", за да я превърне в шифрованите данни в обикновен текст, като се използва различен ключ.

Какво е "цифров сертификат"?
Когато криптиране с публичен ключ е един от ключовете, наречена "частен ключ", трябва да се пази в тайна. Другият ключ, наречен "публичния ключ", е предназначен за споделяне с други потребители. Въпреки това, собственикът на ключа трябва да бъде в състояние да информира останалите потребители, на когото принадлежи. Цифровите сертификати предоставят тази възможност. Цифров сертификат - тя е защитена от външна намеса пакет данни, който включва публичния ключ и информация за него (на собственика, цел, срок на годност и др ...)

Защо да използваме сертификати?
По принцип, сертификати се използват за проверка на сертификата за лице или устройство, удостоверяване на услуга или криптиране на файлове. Обикновено не е нужно да се мисли за сертификати. Но съобщения могат да се появят, че даден сертификат е невалиден или е с изтекъл срок. В такива случаи, трябва да следвате инструкциите в съобщението.

Какво е сертифициращ орган (CA)?
КО - са организации, които издават сертификати. Те създават и проверка на автентичността на публични ключове, принадлежащи на потребители или други органи за сертификация, както и проверка на самоличността на потребители или организации, които искат сертификат.

Какво е списък сертификат доверие (CTL)?
Между получателя на съобщението, подписано и тези, които го подписаха, трябва да има отношения на доверие. Един от начините да се установи такава връзка на доверие - да използва този сертификат (електронен документ), който удостоверява, че тези юридически или физически лица съответстват на декларираните информация за себе си. Удостоверението се издава от трето лице ползва с доверието на двете страни. Ето защо, всеки получател на подписано съобщение, решава дали заслужено доверие на издателя на сертификата за лицето, подписало съобщението. В CryptoAPI прилагане на методология, която позволява на разработчиците на приложения да създават приложения, които автоматично да проверява сертификати от предварително определен списък с надеждни сертификати или корени. Този списък от доверени лица (наречени дисциплини) се нарича списък сертификат доверие. За повече информация, вижте. Проверка на MSDN статия, доверие сертификат.

Какво може да направи zloumyshlenniks използват тези сертификати?
Един хакер може да използва тези удостоверения пародия съдържание, фишинг атаки или атаки като "човек по средата" срещу следните уеб ресурси:

Какъв е типът на атака "човек по средата"?
По време на тип атака "човек по средата" нападателя пренасочва трафика между двама потребители, чрез своя компютър, без да има информация за тези два взаимодействащи си потребители. Всички участващи в този потребители взаимодействие несъзнателно обменя трафик с нападателя, мисля, че си взаимодействат само с целевия потребител.

За системи, които не се използват автоматични актуализации отменено сертификати за нула Console (MMC) "Сертификати", уверете се, че папката Сертификати за които няма доверие добавени следните сертификати:

За всички поддържани издания на Microsoft Windows

Забележка. Устройства с Windows Phone 8 включва автоматични актуализации прекратени удостоверения и актуализират автоматично.

допълнителни препоръки

Друга информация

благодаря

  • Adama Lengli (Адам Лангли) и екипа по сигурността на Google Chrome, за да привлекат вниманието ни към инцидента и да работят заедно по отговора

Microsoft Active Ограждения Програма (MAPP)

обратна връзка

Известие за отхвърляне

Показване: наследени Защитена