Microsoft se ha hecho eco de los problemas con la emisión de certificados falsos por DigiNotar y hoy 6 de Septiembre en una tercera actualización del Microsoft Security Advisory 2607712 (boletin de seguridad de Microsoft) publicado por Microsoft el 29 de agosto del 2011 se informa al respecto del problema de la emisión fraudulenta de los certificados digitales de seguridad recientemente comprometidos de DigiNotar que podrían permitir la suplantación. El contenido de dicho boletín con información general es el siguiente:

Microsoft tiene constancia de ataques activos con al menos un certificado digital fraudulento emitido por DigiNotar, una autoridad de certificación presente actualmente en el Trusted Root Certification Authorities Store (Almacén de autoridades de certificación raíz de confianza). Un certificado fraudulento podría ser usado para suplantar contenido, realizar ataques de phishing o llevar ataques in-the-man (hombre-en-el-medio) contra los usuarios de los navegadores web, incluido Internet Explorer. Aunque esto no es una vulnerabilidad en un producto de Microsoft, este problema de seguridad afecta a todas las versiones soportadas de Microsoft Windows.

Basado en la investigación preliminar, Microsoft ofrece una actualización para todas las versiones soportadas de Microsoft Windows que revoca la confianza de los certificados raíz de DigiNotar, colocándolos dentro de Microsoft Untrusted Certificate Store (Almacén de Certificados No-Confiables de Microsoft) y que son los siguientes:

  •  DigiNotar Root CA
  • DigiNotar Root CA G2
  • DigiNotar PKIoverheid CA Overheid
  • DigiNotar PKIoverheid CA Organisatie – G2
  • DigiNotar PKIoverheid CA Overheid en Bredrijven

Las versiones soportadas de Microsoft Windows, normalmente no requieren ninguna acción para instalar esta actualización, ya que la mayoría de los clientes tienen activada la actualización automática y esta actualización será descargada e instalada automáticamente. Para obtener más información, incluyendo cómo instalar manualmente esta actualización, consulte a la  sección Suggested Actions (sección de Acciones Sugeridas) de este documento informativo de aviso.

El software afectado son los siguientes:

  • Windows XP Pack 3
  • Windows XP Professional x64 Edition Service Pack 2
  • Windows Server 2003 Service Pack 2
  • Windows Server 2003 x64 Service Pack 2
  • Windows Server 2003 con SP2 para sistema basado en Itanium
  • Windows Vista Service Pack 2
  • Windows Vista x64 Service Pack 2
  • Windows Server 2008 Service Pack 2 para sistema de 32 bit
  • Windows Server 2008 Service Pack 2 para sistema basado en x64
  • Windows Server 2008 Service Pack 2 para sistema basado en Itanium
  • Windows 7 y  Windows 7 Service Pack 1 para sistema de 32 bit
  • Windows 7 y  Windows 7 Service Pack 1 para sistemas basados en x64
  • Windows Server 2008 R2 y Windows Server 2008 R2 Service Pack 1  para sistemas basados en x64
  • Windows Server 2008 R2 y Windows Server 2008 R2 Service Pack 1  para sistemas basados en Itanium

Dispositivos no afectados:

  • Windows Mobile 6.x
  • Windows Phone 7
  • Windows Phone 7.5
Traducción: Velcro

 

Fuente: Microsoft TechNet Security Advisory 2607712

Anuncios