Microsoft: Windows Update ikke ramt af SSL-tyveri

Pyha. Stjålne SSL-certifikater kan ikke bruges til at installere malware via Windows Update. mener Microsoft.

Annonce:
Annonce:
Computerworld News Service: Microsoft fastslår, at de digitale certifikater, der er blevet stjålet fra den hollandske certifikatleverandør DigiNotar ikke kan anvendes til at tvangsfodre selskabets kunder med malware via Windows Update.

Det fremhæver selskabet efter et massivt tyveri af over 500 SSL-certifikater (secure socket layer), inklusiv adskillige der kan misbruges til at efterligne Microsofts services til opdatering. Du kan læse mere om tyveriet her.

"Det er ikke muligt for angribere at udnytte et falsk Windows Update-certifikat til at installere malware via Windows Update-serverne," fastslår Jonathan Ness, der er softwareingeniør hos Microsoft Security Response Center (MSRC), i et blogindlæg søndag.

"Windows Update-klienten vil kun installere binære data, der er underskrevet af et faktisk rodcertifikat fra Microsoft, hvilket udstedes og sikres af Microsoft.

Mange certifikater til Microsoft-domæner
Syv af de i alt 531 certifikater, der nu vides at være blevet udstedt i juli under falske forudsætninger til hackere, var til domænerne update.microsoft.com og windowsupdate.com, mens yderligere seks var til *.microsoft.com.

Certifikaterne til windowsupdate.com vil ifølge Microsoft ikke kunne misbruges af angribere, da selskabet ikke længere anvender dette domæne. (Windows Update ligger nu på windowsupdate.microsoft.com.)

Der er dog risiko for udnyttelse af update.microsoft.com - hvilket er domænet brugt af Microsoft Update - og af jokeren *.microsoft.com.

Som Ness påpeger, er opdateringerne, der leveres via Microsofts services, underskrevet med et separat certifikat, som Microsoft holder tæt ind til kroppen.

Uden dette code signing-certifikat vil forsøg på at levere malware forklædt som en opdatering til Windows altid slå fejl.

Andre leverandører heriblandt Apple underskriver også deres softwareopdateringer med et særskilt certifikat.

Læs også:

CIA og MI6 mister vigtige certifikater til hackere


Oversat af Thomas Bøndergaard


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Rittal A/S
Salg, service og rådgivning inden for datacenterløsninger, bl.a. rack/serverskabe, køling, strømfordeling, sikkerhed- og overvågning og energimåling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Projektstyring/projektledelse

Alle organisationer arbejder med projekter, og målet er altid det samme: Projekterne skal afsluttes til tiden, inden for det fastlagte budget og med det ønskede resultat. Det gælder for både de små projekter samt for de store, mandskabskrævende og ressource tunge projekter med længere tidsramme. Læs mere

Pfizers Konferencecenter - 2750 Ballerup



CIO Executive Update

På CIO Executive Update kan du høre oplæg fra Henrik Amsinck - CIO for LEGO Group - om digitaliseringen af LEGO. Vi sætter desuden fokus på sikkerhed og mobility på to eksklusive roundtables - og giver plads til netværket med andre CIOs og it-direktører. Læs mere

Comwell Aarhus - 8000 Aarhus



Få styr på din hosting - sådan får du mere ud at dine data

Kom og hør om de nyeste metoder og teknologier, der giver dig mulighed for at øge udbyttet af dine data og din storage. Læs mere

Idrættens Hus - 2605 Brøndby







Computerworld
Fyringsrunde i IBM Danmark: Medarbejdere mister jobbet onsdag
IBM Danmark skal igennem endnu en fyringsrunde, erfarer Computerworld.
CIO
Google klar med 'Android for Work' - sådan vil Google få virksomhederne til at skifte til Android
Google ser store muligheder for indtjening, hvis selskabet kan få virksomhederne til at vælge Android som mobil-platform. Nu er selskabet klar med særlig 'Android for Work'-løsning.
Comon
Stortest: Her er de bedste gratis antivirus-programmer
Kan gratis sikkerhedssoftware virkelig beskytte din pc? Svaret er ja, hvis du vælger det rette produkt. Læs her en test af de mest pålidelige gratis sikkerhedsprogrammer.
Channelworld
Milliardhandel: Norsk kapitalfond køber dansk it-succes
Den succesfulde it-distributør EET Europarts får nye ejere, efter at den norske kapitalfond FSN har lagt et milliardbeløb på bordet.
White paper
Chat styrker din online-kundeservicestrategi
Få bedre effektivisering og kundeloyalitet ved at implementere chat som en del af din virksomheds kanalstrategi for servicecentret.