Microsoft biztonsági tanácsadó 2524375

A megtévesztő digitális tanúsítványok tartalomhamisítást tesznek lehetővé

Közzétéve: 2011. március 23.

Verzió: 1.0

Általános tudnivalók

Összefoglalás

A Microsoft kilenc megtévesztő digitális tanúsítványról szerzett tudomást, amit a Comodo bocsátott ki. A Comodo hitelesítés-szolgáltatóként szerepel a Microsoft Windows összes támogatott verziójának megbízható legfelső szintű hitelesítés-szolgáltatók tárolójában. A Comodo 2011. március 16-án értesítette a Microsoftot, hogy egy harmadik fél a Comodo nevében aláírt kilenc tanúsítványt – anélkül, hogy azok hitelességét megfelelően igazolták volna. Ezek a tanúsítványok felhasználhatók tartalomhamisítás céljára, adathalász támadásokhoz, illetve man-in-the-middle támadásokhoz minden internetböngésző-felhasználó ellenében (beleértve az Internet Explorer felhasználóit).

A tanúsítványok a következő internetes funkciókat érintik:

  • login.live.com
  • mail.google.com
  • www.google.com
  • login.yahoo.com (3 tanúsítvány)
  • login.skype.com
  • addons.mozilla.org
  • "Global Trustee"

A Comodo visszavonta az érintett tanúsítványokat, melyek most már szerepelnek a Comodo Visszavont tanúsítványok listáján (CRL). Az online tanúsítványállapot-protokollt (OCSP) alkalmazó böngészők interaktív módon hitelesítik a tanúsítványokat, és blokkolják azok működését.

A probléma megszüntetése érdekében minden támogatott Windows-verzióhoz rendelkezésre áll frissítés. A frissítésről további információt a Microsoft Tudásbázis 2524375. számú cikkében talál.

Jellemzően nincs szükség felhasználói beavatkozásra a frissítés telepítéséhez, mivel az ügyfelek többségénél működik az automatikus frissítés funkció, ez pedig automatikusan letölti és telepíti a jelen frissítést. A frissítés manuális telepítésének részleteiről lásd a tanácsadó Javasolt műveletek c. részét.

Tanácsadói részletek

Kiadás hivatkozások

A kiadással kapcsolatos további tájékoztatást az alábbi hivatkozásokon talál:

HivatkozásokAzonosítás
Microsoft Tudásbázis cikke 2524375

Érintett és nem érintett szoftverek

A tanácsadó a következő szoftvereket tárgyalja.

Érintett szoftverek
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 SP2 Itanium-alapú rendszerekhez
Windows Vista Service Pack 1 és Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1 és Windows Vista x64 Edition Service Pack 2
Windows Server 2008 32 bites rendszerekhez és Windows Server 2008 32 bites rendszerekhez, Service Pack 2*
Windows Server 2008 x64 alapú rendszerekhez és Windows Server 2008 x64 alapú rendszerekhez, Service Pack 2*
Windows Server 2008 Itanium-alapú rendszerekhez és Windows Server 2008 Itanium-alapú rendszerekhez, Service Pack 2
Windows 7 32 bites rendszerekhez és Windows 7 32 bites rendszerekhez Service Pack 1
Windows 7 x64 alapú rendszerekhez és Windows 7 x64 alapú rendszerekhez Service Pack 1
Windows Server 2008 R2 x64 alapú rendszerekhez és Windows Server 2008 R2 x64 alapú rendszerekhez Service Pack 1*
Windows Server 2008 R2 Itanium alapú rendszerekhez és Windows Server 2008 R2 Itanium alapú rendszerekhez Service Pack 1

*Érinti a kiszolgálómag telepítését. Ez a frissítés ugyanolyan biztonsági besorolás mellett, a megadottak szerint érvényes az Windows Server 2008 és a Windows Server 2008 R2 összes támogatott kiadására, függetlenül attól, hogy a kiszolgálómag-telepítési opcióval telepítették-e. Erről a telepítési opcióról bővebben a Kiszolgálómag-telepítés kezelése és Kiszolgálómag-telepítés szervizelése TechNet cikkekben olvashat. A kiszolgálómag-telepítési opció nem vonatkozik a Windows Server 2008 és a Windows Server 2008 R2 bizonyos kiadásaira; lásd: A kiszolgálómag-telepítési opciók összehasonlítása.

Mit jelent a kriptográfia?  
A kriptográfia az adatbiztonság érdekében normál, olvasható állapotból (egyszerű szöveg) titkosított formába (titkosított szöveg) alakítja az adatokat.

A kriptográfia minden típusánál van egy kulcs névre hallgató érték, illetve egy eljárás (titkosítási algoritmus), amely által az egyszerű szöveg titkosított szöveggé válik. A legelterjedtebb módszer, a titkos kulcsú kriptográfia esetében a titkosított szöveg ugyanezzel a kulccsal alakítható vissza egyszerű szöveggé. A nyilvános kulcsú kriptográfia esetében a titkosított szöveg visszaalakítása másik kulccsal történik.

Mi az a digitális tanúsítvány?  
A nyilvános kulcsú kriptográfia esetében az egyik kulcsot (ez a személyes kulcs) titokban kell tartani. A másik, nyilvános kulcs megosztható a nyilvánossággal. Azonban kell egy módszer, amivel a kulcs tulajdonosa azonosítani tudja magát. Erre valók a digitális tanúsítványok. A digitális tanúsítvány egy támadhatatlan adategység, amely a nyilvános kulcsot egybefoglalja a kapcsolódó információkkal: ki a tulajdonos, mire való a tanúsítvány, mikor jár le stb.

Mire valók a tanúsítványok?  
A tanúsítványok alapvetően egy személy vagy készülék azonosságát, illetve szolgáltatást hitelesítenek, illetve fájlok titkosítására is használhatók. Általában a felhasználóknak nem kell foglalkozniuk a tanúsítványokkal. Kaphatnak azonban olyan üzenetet, mely szerint a tanúsítvány lejárt vagy érvénytelen. Ilyenkor az üzenetben leírt utasításokat kell követni.

Mit jelent a hitelesítés-szolgáltató (CA)?  
A hitelesítés-szolgáltatók azok a szervezetek, akik kiadják a tanúsítványok. Megállapítják és ellenőrzik a személyek vagy hitelesítés-szolgáltatók tulajdonát képező nyilvános kulcsot hitelességét, illetve ellenőrzik a tanúsítványt kérő személy vagy szervezet azonosságát.

Mi okozta a hibát?  
Egy jelentős hitelesítés-szolgáltató, a Comodo jelezte a Microsoftnak, hogy több digitális tanúsítvány került kiadásra anélkül, hogy megfelelően ellenőrizték volna azok azonosságát. Ezek a tanúsítványok alkalmasak a szolgáltatások azonosítását érintő tartalomhamisításra, és rá tudják venni a felhasználókat, hogy bízzanak ezekben.

Megjegyzés A Comodo visszavonta az érintett tanúsítványokat, melyek most már szerepelnek a Comod Visszavont tanúsítványok listáján (CRL).

Mire használhatja a biztonsági rést a támadó?  
A támadó felhasználja a tanúsítványokat tartalomhamisítás céljára, adathalász támadásokhoz, illetve man-in-the-middle támadásokhoz minden internetböngésző-felhasználó ellenében (beleértve az Internet Explorer felhasználóit).

Mit jelent a man-in-the-middle támadás?  
A man-in-the-middle támadás során a támadó keresztülvezeti a két felhasználó közt folyó kommunikációt saját számítógépén anélkül, hogy a két kommunikáló fél tudna erről. Mindkét kommunikáló fél tudtán kívül adatokat küld a támadónak és fogad tőle, miközben azt hiszi, hogy csak az eredeti címzettel kommunikál.

Hogyan lehet visszavonni egy tanúsítványt?  
A Comodo egy szabványos eljárást követve megakadályozhatja, hogy a tanúsítványokat használatuk esetén el is fogadják. Minden tanúsítvány-kiállító időnként létrehoz egy CRL listát, amely az érvénytelen tanúsítványokat tartalmazza. Minden tanúsítványhoz meg kell adni egy CRL elérési helyet (CDP), ami jelzi, hogy honnan lehet bekérni a vonatkozó CRL-t.

Az internetböngészők online tanúsítványállapot-protokoll (OCSP) alapján is ellenőrizhetik egy digitális tanúsítvány azonosságát. Az OCSP tanúsítvány-hitelesítő módszerhez aktív részvétel szükséges: kapcsolódni kell egy, a digitális tanúsítványt aláírt hitelesítés-szolgáltató (CA) OCSP-válaszadójához. Minden tanúsítványnak rá kell mutatnia egy OCSP válaszadó helyhez, a Kiállítói információ lekérdezése (AIA) keretében. Emellett az OCSP funkciókapcsolás lehetővé teszi, hogy az internetkiszolgáló maga küldjön OCSP hitelesítési választ az ügyfél számára.

A OCSP hitelesítés alapértelmezés szerint aktív az Internet Explorer 7 és annál újabb Internet Explorer verziókon, a Windows Vista, Windows Server 2008, Windows 7 és Windows Server 2008 R2 támogatott kiadásain. Ezeknél az operációs rendszereknél a böngésző a CRL helyről kéri le a tanúsítvány-hitelesítéshez szükséges információt, amennyiben az OSCP hitelesítés meghiúsul.

A visszavont tanúsítvány ellenőrzésének részleteiről lásd a Tanúsítvány-visszavonás és állapot-ellenőrzés TechNet cikket.

Mi a visszavont tanúsítványok listája (CRL)?  
A CRL egy digitális aláírással ellátott lista, amit a CA ad ki az általa kiadott, és nemrégiben visszavont tanúsítványok felsorolásával. Minden egyes visszavont tanúsítványról közlik a tanúsítvány sorozatszámát, a visszavonás dátumát és okát. Az alkalmazások a CRL alapján tudják megállapítani, hogy egy adott tanúsítványt visszavontak-e.

Mi a CRL elérési hely (CDP)?  
A CDP az a tanúsítvány-kiterjesztés, ahol egy adott CA tanúsítvány-visszavonási listája megtekinthető. Tartalmazhat egy vagy több HTTP, fájl, illetve LDAP formájú URL elemet.

Mi az online tanúsítványállapot-protokoll (OCSP)?  
Az OCSP protokoll lehetővé teszi a tanúsítványállapot valós idejű ellenőrzését. Az OCSP válaszadó jellemzően a CA részéről kikért CRL alapján közli a visszavonás állapotát.

A Microsoft milyen lépéseket tesz a probléma megoldása végett?  
Noha a problémát nem Microsoft termék hibája okozza, fejlesztettünk egy frissítést, amely biztosítja a felhasználók védelmét: garantálja, hogy a kilenc megtévesztő tanúsítványt mindig nem megbízhatóként kezelje a rendszer.

Ha a Microsoft szoftverben nincs hiba, miért ad ki mégis frissítést a Microsoft?  
Ha aktív a CRL és OCSP, akkor is előfordulhat, hogy a hitelesítési technikák nem elegendőek ahhoz, hogy maradéktalanul megvédjék a felhasználókat a tanúsítványok rosszindulatú kihasználása ellen. Ha a CRL hely és az OCSP válaszadó elérhető, a hitelesítési ellenőrzések rendkívül megbízhatóak és hatékonyak.

Ha azonban a tanúsítvány-visszavonás ellenőrzése hálózati vagy kapcsolódási problémák miatt meghiúsul, a böngészők és egyéb ügyfélalkalmazások (beleértve az Internet Explorer programot) figyelmen kívül hagyhatják a hibákat, és megbízhatónak ítélhetik a tanúsítványt, noha erre semmilyen bizonyíték nem utal. Ilyen esetekben a felhasználók továbbra is támadhatók.

Mi a frissítés feladata? 
A frissítés a probléma megoldása védett a Microsoft Windows nem biztonságos tanúsítványok helyi tárolójába helyezi a kilenc félrevezető tanúsítványt.

Honnan tudhatom, hogy érvénytelen tanúsítványhibába ütköztem?  
Amikor az Internet Explorer érvénytelen tanúsítvánnyal találkozik, a felhasználók előtt megjelenik „A webhely tanúsítványa hibás.” szövegű weboldal. Amikor megjelenik ez a figyelmeztetés, érdemes becsukni a weboldalt, és elnavigálni onnan.

Az üzenet akkor jelenik meg, ha a tanúsítványt érvénytelennek ítélték, pl. aktív visszavont tanúsítványok listája (CRL) vagy online tanúsítványállapot-protokoll (OCSP) ellenőrzés alapján. A OCSP hitelesítés alapértelmezés szerint aktív az Internet Explorer 7 és annál újabb Internet Explorer verziókon, a Windows Vista, Windows Server 2008, Windows 7 és Windows Server 2008 R2 támogatott kiadásain.

A frissítés alkalmazását követően hogyan ellenőrizhetem a Nem megbízható tanúsítványok mappában lévő tanúsítványokat?  
A tanúsítványok megjelenítésével kapcsolatos tudnivalókat lásd aTanúsítványok megtekintése az MMC beépülő modullal MSDN cikkben.

A Tanúsítványok MMC beépülő modulja helyen ellenőrizze, hogy a következő tanúsítványok bekerültek-e Nem megbízható tanúsítványok mappába:

TanúsítványKiállítóSorozatszám
addons.mozilla.orgUTN-USERFirst-Hardware00 92 39 d5 34 8f 40 d1 69 5a 74 54 70 e1 f2 3f 43
“Global Trustee”UTN-USERFirst-Hardware00 d8 f3 5f 4e b7 87 2b 2d ab 06 92 e3 15 38 2f b0
login.live.comUTN-USERFirst-Hardware00 b0 b7 13 3e d0 96 f9 b5 6f ae 91 c8 74 bd 3a c0
login.skype.comUTN-USERFirst-Hardware00 e9 02 8b 95 78 e4 15 dc 1a 71 0a 2b 88 15 44 47
login.yahoo.comUTN-USERFirst-Hardware00 d7 55 8f da f5 f1 10 5b b2 13 28 2b 70 77 29 a3
login.yahoo.comUTN-USERFirst-Hardware39 2a 43 4f 0e 07 df 1f 8a a3 05 de 34 e0 c2 29
login.yahoo.comUTN-USERFirst-Hardware3e 75 ce d4 6b 69 30 21 21 88 30 ae 86 a8 2a 71
mail.google.comUTN-USERFirst-Hardware04 7e cb e9 fc a5 5f 7b d0 9e ae 36 e1 0c ae 1e
www.google.comUTN-USERFirst-Hardware00 f5 c8 6a f3 61 62 f1 3a 64 f5 4f 6d c9 58 7c 06

Telepítse a frissítést

A probléma megoldására frissítést adtak ki.

A felhasználók nagy részénél be van kapcsolva az automatikus frissítés; ilyenkor nincs más teendő, mert a rendszer automatikusan letölti és telepíti a frissítést. Ha nem használ automatikus frissítést, keresse meg a vonatkozó frissítést és telepítse manuálisan. Az automatikus frissítés további beállításairól lásd a Microsoft Tudásbázis 294871. cikkét.

Ha a rendszergazda, vállalati telepítő vagy végfelhasználó manuálisan szeretné telepíteni a frissítést, a Microsoft az azonnali telepítést javasolja frissítéskezelő szoftver vagy a Microsoft Update szolgáltatás igénybevételével.

A frissítés a Microsoft Letöltőközpontból is elérhető: a letöltési hivatkozásokat lásd a Microsoft Tudásbázis 2524375. cikkében.

További ajánlott teendők

  • Nézze át a Microsoft Tudásbázis jelen tanácsadót érintő cikkét

    A problémáról további információt a Microsoft Tudásbázis 2524375. számú cikkében talál.

  • Védje számítógépét

    Arra ösztönözzük ügyfeleinket, hogy kövessék A számítógép védelme útmutatásait a tűzfal használatával kapcsolatban, töltsék le a szoftverfrissítéseket és telepítsenek víruskereső szoftvereket. Ügyfeleink többet is megtudhatnak ezekről a lépésekről, ha meglátogatják az A számítógép védelme webhelyet.

    A biztonságos internetezésről a Microsoft biztonsági honlapján található további információ.

  • Tartsa naprakészen Microsoft szoftvereit

    A számítógépek minél nagyobb biztonsága érdekében a Microsoft szoftverek felhasználóinak alkalmazniuk kell a Microsoft legújabb biztonsági frissítéseit. Ha nem biztos abban, hogy szoftvere naprakész-e, látogasson el a Microsoft Update webhelyre, ellenőrizze számítógépén az elérhető frissítéseket, és telepítse a felkínált magas prioritású frissítéseket. Ha bekapcsolta az automatikus frissítést és beállítottak, hogy kéri a Microsoft termékek frissítéseit, a frissítéseket azonnal megkapja, amikor azok kiadásra kerülnek. Mégis ellenőriznie kell, hogy a rendszer telepítette-e ezeket.

Egyéb információ

Microsoft Active Protections Program (MAPP)

Az ügyfelek védelmének növelése érdekében a biztonsági szoftverekkel foglalkozó nagyobb gyártók a Microsoft a havi biztonsági közlemények megjelenése előtt ellátja biztonsági résekkel kapcsolatos információkkal. Így a biztonságiszoftver-gyártók a kapott biztonsági résekkel kapcsolatos információt felhasználhatják ügyfeleik hatásosabb védelmére az olyan biztonsági szoftverek vagy eszközök (például víruskeresők, hálózati behatolásérzékelő rendszerek vagy kiszolgálóalapú behatolásvédelmi rendszerek) frissítése által. A biztonságiszoftver-gyártók által kiadott aktív védelem elérhetőségéről a Microsoft Active Protections Program (MAPP) Partners webhelyén található listán szereplő és a programban részt vevő gyártók aktív védelmi webhelyein tájékozódhat.

Visszajelzés

Terméktámogatás

Felelősséget kizáró nyilatkozat

A jelen tanácsadó tartalmáért a Microsoft nem vállal garanciát. A Microsoft egyben elhárít minden kifejezett és értelemszerű garanciát, beleértve az eladhatóságra és az adott célra való alkalmasságra vonatkozó garanciát is. A Microsoft Corporation vagy annak szállítói semmilyen körülmények között nem tehetők felelőssé közvetlen, közvetett, eseti, ok-okozati vagy különleges kárért (beleértve az elmaradt hasznot is), még akkor sem, ha a Microsoft Corporation vagy szállítói tudatában voltak a kár lehetséges voltának. Egyes államok törvényi szabályozása nem teszi lehetővé a véletlen vagy ok-okozati károkért vállalt felelősség korlátozását vagy kizárását, így ezekben az államokban az ez a felelősségkizárás nincs érvényben.

Verziók

  • 1.0 verzió (2011. március 23.): Tanácsadó közzététele.

Built at 2014-04-18T01:50:00Z-07:00

Megjelenítés: