| Noticias | 06 SEP 2002

Parche para proteger Windows y otros programas de Microsoft contra los falsos certificados digitales

Tags: Histórico

Aunque Microsoft ha advertido que se necesitan elevados conocimientos para aprovechar el agujero de seguridad encontrado en la API de criptografía de varias versiones de Windows (98, 98 Second Edition, ME, NT 4.0, NT 4.0 Terminal Server Edition, 2000 y XP), así como en los programas Office, Internet Explorer y Outlook Express, ya ha desarrollado el parche correspondiente. Esta vulnerabilidad permitía a los hackers usar falsos certificados y firmas digitales para tomar el control de comunicaciones seguras.
Almudena Alameda

A comienzos de agosto un investigador independiente descubrió un agujero en la API de criptografía de Windows (CryptoAPI) que proporciona al sistema operativo la estructura que los programas utilizan para obtener los servicios criptográficos. En concreto, CryptoAPI proporciona soporte, entre otras tareas, para la encriptación, la decodificación y el manejo de los certificados digitales.
El problema se origina porque CryptoAPI no comprueba el parámetro del certificado digital denominado “Basic Constraints” que sirve para validar las cadenas del certificado, es decir, la jerarquía de seguridad que deriva de las autoridades máximas de certificación como, por ejemplo, VeriSign. Con ello se permitiría la creación de certificados falsos que no son detectados por el software de Microsoft y cuyo objetivo podría ser la identificación del emisor de un mensaje de e-mail o la identidad de un servidor. También se pueden usar para “secuestrar” sesiones IPSec, engañar a los sistemas de autenticación o firmar digitalmente códigos maliciosos usando la tecnología Authenticode de Microsoft, induciendo a los usuarios a creer que el código proviene de una fuente de confianza.

www.microsoft.com/technet

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información