Seguridad Derecho informático Derecho nuevas tecnologías


Derecho informático Derecho nuevas tecnologías
Seguridad Derecho informático Derecho nuevas tecnologías
 Noticias
  • Parches para productos de Microsoft contra borrados y falsos certificados digitales [08-09-02]  


    Por un lado Hispasec ha anunciado un fallo en ActiveX que permite el borrado de certificados digitales.

    Antonio Ropero. El Control ActiveX conocido como Certificate Enrollment Control, incluido en todos los sistemas Windows, se ve afectado por un problema que puede permitir a un atacante la eliminación de los certificados digitales almacenados en el sistema vulnerable.

    En todas las versiones de Windows se incluye el control ActiveX Certificate Enrollment Control cuyo propósito es permitir las inclusiones de certificados web. El control se emplea para presentar peticiones de certificados PKCS #10, y una vez recibido el certificado solicitado almacenarlo en el almacén de certificados local.

    El control se ve afectado por un fallo que puede permitir que una página web lo invoque de una forma que llegará a eliminar los certificados del sistema del usuario. Un atacante que explote esta vulnerabilidad exitosamente podrá llegar a degradar todo tipo de certificados instalados en el sistema.

    La vulnerabilidad puede explotarse a través de una página web maliciosa o desde un e-mail html y afecta a todos los sistemas Windows.

    Los parches pueden descargarse desde las siguientes direcciones:

    . Microsoft Windows 98:
    http://www.microsoft.com/windows98/downloads/contents/WUCritical/q323172/default.asp

    . Microsoft Windows 98 Second Edition:
    http://www.microsoft.com/windows98/downloads/contents/WUCritical/q323172/default.asp

    . Microsoft Windows Me:
    http://download.microsoft.com/download/WINME/PATCH/24421/WINME/EN-US/323172USAM.EXE

    . Microsoft Windows NT 4.0:
    http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41747

    . Microsoft Windows NT 4.0, Terminal Server Edition:
    http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41361

    . Microsoft Windows 2000:
    http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41568

    . Microsoft Windows XP:
    http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41598

    . Microsoft Windows XP 64-bit Edition:
    http://www.microsoft.com/Downloads/Release.asp?ReleaseID=41598


    En agosto un investigador independiente descubrió un agujero en la API de criptografía de Windows, conocida como CryptoAPI, que proporciona al sistema operativo la estructura que los programas utilizan para obtener los servicios criptográficos.


    CryptoAPI proporciona soporte, entre otras tareas, para la encriptación, la decodificación y el manejo de los certificados digitales.


    Entre los productos de Microsoft donde se encuentran estos fallos están varias versiones de Windows (98, 98 Second Edition, ME, NT 4.0, NT 4.0 Terminal Server Edition, 2000 y XP), así como en los programas Office, Internet Explorer y Outlook Express. El parche correspondiente ya se encuentran disponible en la dirección http://www.microsoft.com/technet


    El fallo se seguridad se encuentra en que CryptoAPI no comprueba el parámetro del certificado digital denominado “Basic Constraints” que sirve para validar las cadenas del certificado, es decir, la jerarquía de seguridad que deriva de las autoridades máximas de certificación como, por ejemplo, VeriSign.


    Este error permitiría la creación de certificados falsos que no son detectados por el software de Microsoft y cuyo objetivo podría ser la identificación del emisor de un mensaje de e-mail o la identidad de un servidor. También se pueden usar para “secuestrar” sesiones IPSec, engañar a los sistemas de autenticación o firmar digitalmente códigos maliciosos usando la tecnología Authenticode de Microsoft, induciendo a los usuarios a creer que el código proviene de una fuente de confianza.


    Por su parte, Microsoft ha argumentado que para aprovechar el agujero de seguridad se necesitan elevados conocimientos.



    Más información:

    http://www.microsoft.com/technet





  • Noticias actuales...
    Archivo de noticias...
  •  
    Gratis Servicio de noticias
    Suscribir Borrado
    Tus Sugerencias son bienvenidas
    Pincha Aquí
    ¡¡Lista de correo!!
    Introduzca su correo: