Microsoft ha publicado ayer, fuera de su ciclo habitual de actualizaciones, una actualización en la que se amplía la lista de certificados fraudulentos. En este caso, el gigante de Redmond ha revocado la confianza del certificado DigiCert Sdn.Bhd (Digicert Malaysia) y ha movido dos entidades de certificación a la lista de sitios de no confianza, ya que expidieron 22 certificados con claves débiles de 512 bits. Conoce más detalles a continuación.
Este tipo de certificados con clave débil no cumplen los requerimientos del programa de certificación raíz de Microsoft, por lo que se han revocado. Hasta ahora, el gigante de Redmond no tiene datos de que los certificados se hayan utilizado de forma fraudulenta, y ha lanzado la actualización kb2641690 disponible a través de Windows Update y también en el siguiente enlace:
- Descarga actualización kb2641690
Aunque ésta no es una vulnerabilidad explícita de Windows, sí afecta a estos sistemas operativos, ya que podría permitir a un atacante utilizar el certificado de forma fraudulenta y hacer ataques de phishing, falsificar contenidos, o realizar un ataque man-in-the-middle contra cualquier navegador.
Por todo lo anterior, desde SoftZone recomendamos a todos los usuarios de Windows que apliquen esta actualización cuanto antes.
Vía | MSRC Blog
FUENTE :http://www.softzone.es/2011/11/11/microsoft-publica-una-actualizacion-de-seguridad-en-la-que-revoca-certificados-fraudulentos/