Problemas de Seguridad de Windows XXXX (otro más y van…) y VeriSign

Escrito el 8 abril, 2001 – 3:13 | por storm | 1.563 lecturas

Microsoft está otra vez en problemas con la seguridad y esta vez de una forma de lo más tonta e infantil. Billy y sus muchachos nunca dejarán de sorprendernos….
Como ustedes sabrán Microsoft utiliza los servicios de VeriSign para firmar los programas que pueden ser ejecutados desde el browser (via script, activeX, etc) o mediante modulos del sistema operativo. Si uno usa IE y al llegar a una página se intenta instalar o ejecutar algo, aparecerá una ventanita que nos preguntará si confiamos en la empresa que la envía y si esa confianza es por esta vez o "para siempre"
Pues bien, si a uno le llega este aviso y dice que viene de Microsoft, uno (equivocadamente) tiende a confiar… Pero resulta que los que son confiados son también los chicos de VeriSign, ya que el 29 y 30 de Enero, un individuo llamó solicitando 2 certificados clase 3 (no me pregunten qué significa la clase…) diciendo ser empleado de Microsoft y…. se las dieron.
Como consecuencia de esto, dicho individuo y sus cómplices son capaces de enviar código ejecutable haciendonos creer que provienen de Microsoft. Si para peor la primera vez le decimos que creemos en ellos "para siempre", sonamos "para siempre"
Si bien VeriSign ha revocado los certificados, por el mecanismo utilizado para la verificación, no necesariamente el browser puede detectar que han sido revocados.
Lo curioso de este problema es que es una de las pocas veces que Microsoft puede informar que el problema de seguridad no se debe a una falla en sus programas sino a un error de un tercero… aunque no creo que sea asi del todo, ya que si usan VeriSign para verificar los certificados, también deberían verificar que no estén revocados…
Dos curiosidades más : La primera solución propuesta por Microsoft fue que los usuarios eliminen de la configuración del IE a VeriSign como agente de certificación y la segunda es que ahora hay disponible un patch que en forma "cableada" hace que el IE dé como revocados los certificados "truchos".
Este problema afecta a TODAS las versiónes de Windows, incluyendo Windows XP Beta 2
Haciendo click aqui pueden ver el boletín de Microsoft.
Y ESTÉN ATENTOS A LOS PROGRAMAS QUE AUTORIZAN….

You must be logged in to post a comment.

Buscar: