Error en validación de certificados permite falsificación de identidad

Archivado
Error en validación de certificados permite falsificación de identidad
----------------------------------------------------------------------

Un error en la validación de Certificados realizada por los sistemas
operativos de Microsoft puede permitir una gran variedad de ataques
de suplantación de personalidad o saltar cualquier autenticación
basada en certificados.

El estándar del perfil de los certificados X.509 define múltiples
campos adicionales que pueden ser incluidos en el certificado digital.
Uno de estos campos es el "Basic Constraints" empleado para indicar
las cadenas del certificado. Sin embargo, las APIs incluidas en
CryptoAPI que construyen y validan las cadenas de certificados
(CertGetCertificateChain(), CertVerifyCertificateChainPolicy() y
WinVerifyTrust() ) no comprueban el campo "Basic Constraints".

La vulnerabilidad puede permitir a un atacante que tenga un
certificado "end-entity" válido emitir un certificado dependiente que,
aunque sea falso, podrá a pesar de todo pasar la validación. Como la
CryptoAPI se emplea en diversas aplicaciones, esto permite una gran
variedad de ataques de suplantación de identidad. Como los siguientes:

- - Configurar un sitio web que imite a otro sitio diferente, y "pruebe"
su identidad estableciendo una sesión SSL como el sitio web original.

- - Enviar emails firmados empleando un certificado digital que
supuestamente pertenezca a un usuario diferente.

- - Engañar a sistemas de autenticación basados en certificados para
conseguir acceso como usuario privilegiado.

- - Firmar digitalmente programas maliciosos usando certificados
Authenticode que parezcan emitidos por una compañía en que los
usuarios confíen.

Microsoft publica parches para los productos afectados en las
siguientes direcciones:

Los parches publicados pueden descargarse desde las direcciones:
Microsoft Windows 98:
http://www.microsoft.com/windows98/downloads/contents/WUCritical/q328145/default.asp
Windows 98 Second Edition:
http://www.microsoft.com/windows98/downloads/contents/WUCritical/q328145/default.asp
Windows Me:
http://download.microsoft.com/download/WINME/PATCH/25386/WINME/EN-US/328145USAM.EXE
Windows NT 4.0:
http://www.microsoft.com/ntserver/nts/downloads/critical/q328145/default.asp
Windows NT 4.0 Terminal Server Edition:
http://www.microsoft.com/ntserver/terminalserver/downloads/critical/q328145/default.asp
Windows XP:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=42562
Windows XP 64 bit Edition:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=42558

En breve se publicarán las actualizaciones para:
- - Windows 2000
- - Microsoft Office v.X para Mac
- - Microsoft Office 2001 para Mac
- - Microsoft Office 98 para Macintosh
- - Microsoft Internet Explorer para Mac (para OS 8.1 a 9.x)
- - Microsoft Internet Explorer para Mac (para OS X)
- - Microsoft Outlook Express 5.0.5 para Mac
Aun no se porque me molesto en contestar pero.. ¿Tu te estas viendo?
Hablas como un dislexico, por no decir algo peor.. Y encima las cosas que dices.. Tonterias, Mentiras, Necedades..
Deja disfrutar del foro a los que les gusta la informatica, y llevate tu intolerancia y prejuicios infundados a otra parte.
¡Ah! Llevate tambien un diccionario de castellano alla donde vayas.
Saludos.

Firmado: Un usuario cansado..
windows=kk
sea con este fallo o con cualquiera. no solo los tienen que parece echoa a consiencia algunos sino que en sima o no lo reconocen o tarda una eternidad en solucionarlo.


que problema hay con los dislexico.
Bien, prefiero no contestar hasta que tengas uso de razon.
Jamas he tenido ningun problema con los dislexicos, gracias.
Saludos.
3 respuestas
Archivado
Volver a General