Exportar (0) Imprimir
Expandir Tudo

Comunicado de Segurança da Microsoft 2524375

Certificados digitais fraudulentos poderiam permitir falsificação

Publicado: quarta-feira, 23 de março de 2011 | Atualizado: terça-feira, 10 de maio de 2011

Versão: 4.0

Informações Gerais

Sinopse

A Microsoft está ciente de nove certificados digitais fraudulentos emitidos pela Comodo, uma autoridade de certificação presente no Armazenamento das Autoridades de Certificação de Raiz Confiável, em todas as versões com suporte dos dispositivos com Microsoft Windows, Windows Mobile 6.x, Windows Phone 7, Microsoft Kin e Zune. Comodo notificou a Microsoft em 16 de março de 2011 de que nove certificados tinham sido assinados em nome de terceiros sem suficientemente validar sua identidade. Esses certificados podem ser usados para falsificar conteúdo, executar ataques de phishing ou executar ataques intermediários contra todos os usuários de navegadores da Web, inclusive usuários do Internet Explorer.

Estes certificados afetam as seguintes propriedades da Web:

  • login.live.com
  • mail.google.com
  • www.google.com
  • login. yahoo.com (3 certificados)
  • login.skype.com
  • addons.mozilla.org
  • "Global Trustee"

Comodo cancelou esses certificados, e eles são listados na Lista atual de Revogação de Certificado do Comodo (CRL). Além disso, navegadores que habilitaram o Certificado Online Protocolo de Status (OCSP) validarão interativamente esses certificados e os bloqueá-los para uso.

Uma atualização para ajudar a solucionar este problema está disponível para todas as versões com suporte dos dispositivos com Windows e Windows Mobile 6.x. A partir de 3 de maio de 2011, a atualização também começará a ser fornecida para clientes do Windows Phone 7. Para obter mais informações sobre essa atualização, consulte o Artigo 2524375 (em inglês) da Microsoft Knowledge Base.

Para versões com suporte do Microsoft Windows, geralmente, nenhuma ação é requerida de clientes para instalar esta atualização, porque a maioria de clientes tem a atualização automática habilitada, e essa atualização será baixada e instalada automaticamente. Para obter mais informações, inclusive sobre como instalar manualmente esta atualização e como instalar a atualização nos dispositivos com Windows Mobile 6.x e Windows Phone 7, consulte a seção Ações recomendadas deste comunicado.

Detalhes do Comunicado

Referências ao problema

Para obter mais informações sobre este problema, consulte as seguintes referências:

ReferênciasIdentificação
Artigo da Microsoft Knowledge Base 2524375

Dispositivos e softwares afetados

Este comunicado descreve os seguintes softwares e dispositivos:

Softwares afetados
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 com SP2 para sistemas baseados no Itanium
Windows Vista Service Pack 1 e Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 1 e Windows Vista x64 Edition Service Pack 2
Windows Server 2008 para sistemas de 32 bits e Windows Server 2008 para sistemas de 32 bits Service Pack 2*
Windows Server 2008 para sistemas baseados em x64 e Windows Server 2008 para sistemas baseados em x64 Service Pack 2*
Windows Server 2008 para sistemas baseados no Itanium e Windows Server 2008 para sistemas baseados no Itanium Service Pack 2
Windows 7 para sistemas de 32 bits e Windows 7 para sistemas de 32 bits Service Pack 1
Windows 7 para sistemas baseados em x-64 e Windows 7 para Sistemas Service Pack 1 baseados em x-64
Windows Server 2008 R2 para sistemas baseados em x64 e Windows Server 2008 R2 para sistemas baseados em x-64 Service Pack 1*
Windows Server 2008 R2 para sistemas baseados em Itanium e Windows Server 2008 R2 para sistemas Service Pack 1 baseados no Itanium
Dispositivos afetados
Windows Mobile 6.x
Windows Phone 7
Microsoft Kin
Zune 4GB, Zune 8GB, Zune 16GB, Zune 30GB, Zune 80GB e Zune 120GB
Zune HD 16GB, Zune HD 32GB e Zune HD 64GB

*Instalação do núcleo do servidor afetada. Esta atualização se aplica, com a mesma classificação de gravidade, às edições com suporte do Windows Server 2008 e do Windows Server 2008 R2, conforme indicado, independentemente de terem sido instalados ou não com a opção de instalação de Núcleo de Servidor. Para obter mais informações sobre esta opção de instalação, consulte os artigos da Technet Managing a Server Core Installation e Servicing a Server Core Installation (em inglês). Observe que a opção de instalação de Núcleo do Servidor não se aplica a certas edições do Windows Server 2008 e Windows Server 2008 R2; consulte Comparar opções de instalação de Núcleo do Servidor.

Por que este comunicado foi revisado em 10 de maio de 2011?  
A Microsoft revisou este comunicado para anunciar o lançamento de uma atualização para dispositivos com Windows Mobile 6.x. A atualização está disponível para download no Centro de Download da Microsoft. Para obter mais informações, consulte o Artigo 2524375 (em inglês) da Microsoft Knowledge Base.

As atualizações para dispositivos com Microsoft Kin e Zune estão indisponíveis desta vez. A Microsoft publicará atualizações para esses dispositivos quando os testes forem concluídos para assegurar um alto grau de qualidade de cada versão.

Por que este comunicado foi revisado em 3 de maio de 2011?  
A Microsoft revisou este comunicado para anunciar o lançamento de uma atualização para dispositivos com Windows Phone 7. Por ocasião do lançamento, a atualização não estará disponível para todos os clientes do Windows Phone 7 clientes; em vez disso, os clientes receberão uma notificação pelo dispositivo assim que a atualização estiver disponível para seu telefone. Para saber mais ou instalar a atualização, os clientes do Windows Phone 7 terão que conectar seu telefone a um computador e usar o cliente do Zune PC ou o conector do Windows Phone 7 (para Mac) para concluir o processo de atualização. Para obter mais informações, consulte o Artigo 2524375 (em inglês) da Microsoft Knowledge Base.

As atualizações para os dispositivos com Windows Mobile 6.x, Microsoft Kin e Zune não estão disponíveis no momento. A Microsoft publicará atualizações para esses dispositivos quando os testes forem concluídos para assegurar um alto grau de qualidade de cada versão.

Por que este comunicado foi revisado em 19 de abril de 2011?  
A Microsoft revisou este comunicado para adicionar os dispositivos com Windows Mobile 6.x, Windows Phone 7, Microsoft Kin e Zune aos dispositivos e softwares afetados. A Microsoft está ciente de que o armazenamento local de certificados não confiáveis nesses dispositivos deve ser atualizado para incluir os nove certificados digitais fraudulentos.

As atualizações para os dispositivos com Windows Mobile 6.x, Windows Phone 7, Microsoft Kin e Zune não estão disponíveis no momento. A Microsoft publicará atualizações para esses dispositivos quando os testes forem concluídos para assegurar um alto grau de qualidade de cada versão.

O que é criptografia?  
A criptografia é a ciência de proteger informações convertendo-as entre seu estado legível normal (chamado texto sem formatação) e outro em que os dados são ocultados (conhecido como texto codificado ou cifrado).

Em todas as formas de criptografia, um valor conhecido como uma chave é usado junto com um procedimento chamado de algoritmo criptografado para transformar dados de texto sem formatação em texto codificado. No tipo de criptografia mais familiar, criptografia de chave secreta, o texto codificado é revertido a texto sem formatação usando a mesma chave. No entanto, em um segundo tipo de criptografia, criptografia de chave pública, uma chave diferente é usada para reverter o texto codificado a texto sem formatação.

O que é um "certificado digital"?  
Na criptografia de chave pública, uma das chaves, conhecida como chave privada, deve ser mantida em segredo. A outra chave, conhecida como chave pública, deve ser compartilhada com todos. No entanto, deve haver uma forme de o proprietário da chave contar a todos a quem a chave pertence. Certificados digitais fornecem uma maneira de fazer isso. Um certificado digital é um pedaço inviolável de dados que empacota uma chave pública junto com a informação sobre eles - quem a mantém, para que pode ser usada, quando expira, etc.

Para que são usados os certificados?  
Os certificados são usados principalmente para verificar a identidade de uma pessoa ou dispositivo, autenticar um serviço ou criptografar arquivos. Normalmente você não terá que pensar sobre certificados. Talvez você veja uma mensagem informando que determinado certificado está expirado ou é inválido. Nesses casos, você deve seguir as instruções da mensagem.

O que é uma autoridade de certificação (CA)?  
As autoridades de certificação são as organizações que publicam certificados. Elas estabelecem e verificam a autenticidade das chaves públicas que pertencem às pessoas ou a outras autoridades de certificação, e elas verificam a identidade de uma pessoa ou organização que solicita um certificado.

O que causou o problema?  
Comodo, uma autoridade de certificação importante, informou à Microsoft que vários certificados digitais foram publicados sem validar suficientemente sua identidade. Esses certificados poderiam ser usados para falsificar a identidade de serviços, enganando usuários a confiar neles.

Observação Comodo cancelou esses certificados, e eles são listados na Lista atual de Revogação de Certificado do Comodo (CRL).

Para que um invasor pode usar a vulnerabilidade?  
Um invasor poderia usar esses certificados para falsificar conteúdo, executar ataques de phishing ou executar ataques intermediários contra todos os usuários de navegadores da Web, inclusive usuários do Internet Explorer.

O que é um ataque a intermediários?  
Um ataque de intermediário ocorre quando um invasor desvia a comunicação entre dois usuários pelo computador do invasor, sem o conhecimento dos dois usuários que se comunicam. Cada usuário na comunicação, sem saber, envia e recebe tráfego do invasor, achando que está se comunicando somente com o usuário pretendido.

Qual é o procedimento para cancelar um certificado?  
Há um procedimento normal que deveria permitir que Comodo evitasse esses certificados de serem aceitos se fossem usados. Cada emitente de certificado periodicamente gera uma CRL, que lista todos os certificados que devem ser considerados inválidos. Cada certificado deve fornecer um pedaço de dados chamado de Ponto de distribuição de CRL (CDP), que indica o local onde o CRL pode ser obtido.

Uma maneira alternativa para navegadores da Web validarem a identidade de um certificado digital é usando o Certificado Online Protocolo de Status (OCSP). O OCSP permite validação com interação de um certificado, conectando-o a uma resposta do OCSP, hospedado pela Autoridade de Certificação (CA) que assinou o certificado digital. Cada certificado deve fornecer uma indicação ao local de resposta do OCSP pela extensão do Acesso de Informação de Autoridade (AIA) no certificado. Além disso, o grampeamento do OCSP permite ao servidor Web fornecer uma resposta de validação de OCSP ao cliente.

A validação de OCSP é habilitada por padrão no Internet Explorer 7 e versões posteriores do Internet Explorer em edições com suporte do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2. Nesses sistemas operacionais, se a verificação de validação de OCSP falhar, o navegador validará o certificado contatando o Local da CRL.

Para obter mais informações sobre verificação de cancelamento de certificado, consulte o artigo da Technet, Cancelamento de Certificado e Verificação de Status.

O que é uma Lista de Revogação de Certificado (CRL)?  
CRL é uma lista digitalmente assinada, emitida por uma CA, que contém uma lista de certificados emitidos pela CA e, por conseguinte, cancelada pela CA. Para cada indivíduo certificado revogado, a listagem inclui o número de série do certificado, a data em que o certificado foi revogado e o motivo da revogação. Os aplicativos podem executar verificação de CRL para determinar um status de revogação do certificado apresentado.

O que é Ponto de distribuição de CRL (CDP)?  
CDP é uma extensão de certificado que indica onde a lista de revogação de certificado para uma CA pode ser recuperada. Ele pode conter nenhum, um ou muitos HTTP, arquivos ou URLs de LDAP.

O que é Protocolo de Status de Certificado Online (OCSP)?  
OCSP é um protocolo que permite a validação em tempo real de um status do certificado. Geralmente, uma resposta do OCSP retorna com o status de revogação baseado no CRL recuperado da CA.

O que a Microsoft está fazendo para ajudar a resolver este problema?  
Embora este problema não resulte de um problema em algum produto da Microsoft, nós não desenvolvemos uma atualização que ajudará a proteger clientes, assegurando que esses nove certificados fraudulentos sempre serão tratados como não confiáveis.

Se não há nenhum problema em softwares da Microsoft, por que Microsoft está lançando uma atualização?  
Mesmo quando a CRL e a validação do OCSP estão habilitadas, técnicas de validação não são suficientemente robustas para garantir que usuários sejam protegidos contra uso mal-intencionado desses certificados. Quando o local de CRL e a resposta do OCSP são alcançados, as verificações de validação são altamente confiáveis e eficientes.

No entanto, quando verificações de revogação de certificado falham devido a problemas de rede e conectividade, navegadores e outros aplicativos clientes, inclusive o Internet Explorer, podem ignorar esses erros e considerar o certificado confiável devido à falta de provas. Nesses cenários, clientes ainda podem ser afetados.

O que a atualização faz? 
A atualização para versões com suporte do Microsoft Windows elimina o problema, colocando os nove certificados fraudulentos no armazenamento local de certificados não confiáveis do Microsoft Windows. As atualizações para dispositivos com Windows Mobile 6.x e Windows Phone 7 solucionam o problema colocando os nove certificados fraudulentos no armazenamento local de certificados não confiáveis do dispositivo. As atualizações para dispositivos com Microsoft Kin e Zune estão indisponíveis desta vez.

Como eu sei se eu encontrei um erro de certificado de inválido?  
Quando o Internet Explorer encontra um certificado inválido, os usuários veem uma página da Web que diz: "Há um problema com este certificado de segurança do site". Recomenda-se que os usuários fechem a página da Web e saiam do site quando esta mensagem de aviso aparecer.

Os usuários somente veem esta mensagem quando o certificado é determinado como inválido, por exemplo, quando o usuário tem a validação da Lista de Revogação de Certificado (CRL) ou do Protocolo de Status de Certificado Online (OCSP) habilitada. A validação do OCSP é habilitada por padrão no Internet Explorer 7 e em versões posteriores do Internet Explorer em edições com suporte do Windows Vista, Windows Server 2008, Windows 7 e Windows Server 2008 R2.

Depois de aplicar a atualização, como eu posso verificar os certificados na pasta de Certificados não confiáveis?  
Para informações sobre como visualizar certificados, consulte o artigo do MSDN Passo a passo: Visualize certificados com o Snap-in de MMC.

No snap-in de MMC de Certificados, verifique se os seguintes certificados foram adicionados à pasta de Certificados não confiáveis:

CertificadoEmitido porNúmero de série
addons.mozilla.orgUTN-USERFirst-Hardware00 92 39 d5 34 8f 40 d1 69 5a 74 54 70 e1 f2 3f 43
"Global Trustee"UTN-USERFirst-Hardware00 d8 f3 5f 4e b7 87 2b 2d ab 06 92 e3 15 38 2f b0
login.live.comUTN-USERFirst-Hardware00 b0 b7 13 3e d0 96 f9 b5 6f ae 91 c8 74 bd 3a c0
login.skype.comUTN-USERFirst-Hardware00 e9 02 8b 95 78 e4 15 dc 1a 71 0a 2b 88 15 44 47
login.yahoo.comUTN-USERFirst-Hardware00 d7 55 8f da f5 f1 10 5b b2 13 28 2b 70 77 29 a3
login.yahoo.comUTN-USERFirst-Hardware39 2a 43 4f 0e 07 df 1f 8a a3 05 de 34 e0 c2 29
login.yahoo.comUTN-USERFirst-Hardware3e 75 ce d4 6b 69 30 21 21 88 30 ae 86 a8 2a 71
mail.google.comUTN-USERFirst-Hardware04 7e cb e9 fc a5 5f 7b d0 9e ae 36 e1 0c ae 1e
www.google.comUTN-USERFirst-Hardware00 f5 c8 6a f3 61 62 f1 3a 64 f5 4f 6d c9 58 7c 06

Instale a atualização

Uma atualização está disponível para ajudar a suprir este problema.

  • Para versões com suporte do Microsoft Windows

    A maioria dos clientes tem o recurso de atualizações automáticas habilitado e não precisará tomar nenhuma providência porque esta atualização será baixada e instalada automaticamente. Os clientes que não têm o recurso de atualizações automáticas habilitado precisarão verificar as atualizações e instalar esta atualização manualmente. Para obter informações sobre opções de configuração específicas em atualizações automáticas, consulte o Artigo 294871 (em inglês) da Microsoft Knowledge Base.

    Para instalações feitas por administradores ou empresas, ou por usuários finais que desejam instalar esta atualização de segurança manualmente, a Microsoft recomenda que os clientes apliquem a atualização imediatamente usando software de gerenciamento de atualização ou verificando se há atualizações no serviço Microsoft Update.

    A atualização está também disponível do Centro de Downloads da Microsoft; consulte o artigo 2524375 (em inglês) da Microsoft Knowledge Base para links de download.

  • Para dispositivos com Windows Phone 7

    Por ocasião do lançamento, a atualização não estará disponível para todos os clientes do Windows Phone 7 clientes; em vez disso, os clientes receberão uma notificação pelo dispositivo assim que a atualização estiver disponível para seu telefone. Para saber mais ou instalar a atualização, os clientes do Windows Phone 7 terão que conectar seu telefone a um computador e usar o cliente do Zune PC ou o conector do Windows Phone 7 (para Mac) para concluir o processo de atualização. Para obter mais informações sobre a atualização, consulte o Artigo 2524375 (em inglês) da Microsoft Knowledge Base.

    Para atualizar o cliente do Zune PC, os clientes podem configurar a atualização automática para verificar atualizações online do Microsoft Update usando o serviço Microsoft Update . Os clientes com a atualização automática habilitada e configurada para verificar atualizações online do Microsoft Update geralmente não precisarão tomar nenhuma providência para atualizar o software Zune porque esta atualização será baixada e instalada automaticamente.

  • Para dispositivos com Windows Mobile 6.x

    A atualização está disponível para download no Centro de Download da Microsoft. Para obter mais informações sobre a atualização e links para download, consulte o artigo 2524375 (em inglês) da Microsoft Knowledge Base.

Ações adicionais sugeridas

  • Leia o artigo da Microsoft Knowledge Base associado a este comunicado

    Para obter mais informações sobre este problema, consulte o Artigo 2524375 (em inglês) da Microsoft Knowledge Base.

  • Proteja seu PC

    Continuamos a incentivar nossos clientes a seguir nossa orientação de proteger o computador por meio de habilitação do firewall, obtenção de atualizações de software e instalação de software antivírus. Os clientes podem aprender mais sobre essas etapas visitando o site Proteja seu Computador.

    Para obter mais informações sobre como ficar protegido na Internet, visite a Central de Segurança da Microsoft.

  • Mantenha o software da Microsoft atualizado

    Todos os usuários que executam software da Microsoft devem aplicar as mais recentes atualizações de segurança da Microsoft para ter certeza de que seus computadores estejam protegidos ao máximo. Se não tiver certeza de que seu computador está atualizado, visite o Windows Update, verifique se há atualizações disponíveis para o computador e instale as atualizações de alta prioridade oferecidas. Se você tem as atualizações automáticas habilitadas e configuradas para fornecer atualizações para produtos Microsoft, as atualizações serão fornecidas a você quando lançadas, mas você deve verificar se elas são instaladas.

Outras informações

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do MAPP (Microsoft Active Protections Program).

Comentários

Suporte

  • Os clientes nos EUA e Canadá podem receber suporte técnico do Suporte de Segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
  • Os clientes de outros países podem obter suporte nas subsidiárias locais da Microsoft. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte internacional, visite o site Suporte Internacional.
  • O Microsoft TechNet Security fornece informações adicionais sobre segurança em produtos da Microsoft.

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (23 de março de 2011) : Comunicado publicado.
  • V2.0 (19 de abril de 2011): Foram adicionados os dispositivos com Windows Mobile 6.x, Windows Phone 7, Microsoft Kin e Zune aos dispositivos e softwares afetados.
  • V3.0 (3 de maio de 2011): Anunciado o lançamento de uma atualização para dispositivos com Windows Phone 7. A atualização não estará disponível para todos os clientes por ocasião do lançamento; consulte as Perguntas frequentes do comunicado para obter mais informações.
  • V4.0 (10 de maio de 2011): Anunciado o lançamento de uma atualização para dispositivos com Windows Mobile 6.x.

Built at 2014-04-18T01:50:00Z-07:00

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2015 Microsoft