Microsoft varnar för falska Google och Yahoo domäner

Microsoft har utfärdat en säkerhetsbulletin titeln “Felaktigt utfärdad digitala certifikat möjliggör falska identiteter” att tillkännage sina motåtgärder till frisläppandet av falska domäner av certifikatutfärdaren av det nationella informatik Centre (NIC), en byrå av regeringen i Indien.

Vi först skrev om dessa händelser i går, efter Googles svar, till dem. Av skäl som fortfarande är oklara, utfärdade NIC: s CA ett antal domäner som tillhörde Google, skapa möjligheter för spoofing och man-in-the-middle-attacker om ett program betrodd certifikaten. Google förklarade att de egna produkterna inte litar på Indiens regering controller attesterande myndigheter (CCA), enligt vilken NIC driver underordnade certifikatutfärdare. Men de noterade Microsofts Trusted Root Store innehöll CCA.

Microsoft rådgivande upprepar att rotarkivet litat NIC underordnade certifikatutfärdare och tack Adam Langley och Google Chrome Security Team för att informera dem om det.

Den har tillagt att de har uppdaterat “… den lista över betrodda certifikat (CTL) för alla som stöds versioner av Microsoft Windows för att ta bort förtroende certifikat som orsakar det här problemet.” Notera att detta tyder på att Windows XP-användare inte kommer att få förändring.

För system och enheter som kör Windows 8, Windows 8.1, Windows RT, Windows RT 8,1, Windows Server 2012, Windows Server 2012 R2, Windows Phone 8 eller Windows Phone 8.1, en automatisk uppdaterings ingår som gäller denna förändring. För användare som kör Windows Vista, Windows 7, Windows Server 2008 eller Windows Server 2008 R2, en automatisk uppdaterings lämnades förra året, kommer som gör samma sak.

Användare som inte har installerat uppdateringsprogrammet bör följa instruktionerna i rådgivande.

Den rådgivande listar domäner som var felaktigt utfärdade. Det finns 17 Googles domäner, inklusive google.com, m.gmail.com och gstatic.com. Det finns 27 Yahoo domäner, inklusive mail.yahoo.com, profile.yahoo.com och me.yahoo.com. Slutligen static.com, är ett moln PaaS (Platform as a Service) ingår. (Eftersom Googles domäner som slutar i gstatic.com ingick, static.com kan vara ett fel på någon del.)

Uppdatering vid 15:50 ET: En Microsoft talesman gav följande uttalande: “Vi har arbetat flitigt på mis-utfärdade tredjepartsintyg och har opålitliga tillhörande Ordnade Certification Attesterarcertifikat för att säkerställa att våra kunder förblir skyddade kunder med automatisk. uppdateringar aktiverad behöver inte vidta några åtgärder för att förbli skyddade. för mer information hänvisas till Security Advisory 2982792. ”

Uppdatera 18 juli kl 09:20 ET: Microsoft har släppt en Windows Server 2003-versionen av den automatiska uppdaterings för certifikatarkivet. Detta gör det möjligt för Windows Server 2003-system ska uppdateras automatiskt för nya och återkallas betrodda rotcertifikat.

? M2M marknaden studsar tillbaka i Brasilien

FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän

WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål

Vita huset utser först Federal Chief Information Security Officer

Neiman Marcus: 1,1 miljoner kort äventyras, Emerging nationer säkerhet avgörande för framtidens Internet: Microsoft, de flesta vd: ar clueless om cyberattacker – och deras incidenter bevisar det, TECH PRO FORSKNING: IT Anti-Virus Policy

Innovation,? M2M marknaden studsar tillbaka i Brasilien, säkerhet, FBI gripanden påstådda medlemmar av Crackas med inställningen för att hacka amerikanska Gov’t tjänstemän, säkerhet, WordPress uppmanar användare att uppdatera nu för att åtgärda kritiska säkerhetshål, säkerhet, Vita huset utser först Federal Chief Information Security Officer

Måste-Läs: Säkerhet