Microsoft: Windows Update ikke ramt af SSL-tyveri

Pyha. Stjålne SSL-certifikater kan ikke bruges til at installere malware via Windows Update. mener Microsoft.

Annonce:
Annonce:
Computerworld News Service: Microsoft fastslår, at de digitale certifikater, der er blevet stjålet fra den hollandske certifikatleverandør DigiNotar ikke kan anvendes til at tvangsfodre selskabets kunder med malware via Windows Update.

Det fremhæver selskabet efter et massivt tyveri af over 500 SSL-certifikater (secure socket layer), inklusiv adskillige der kan misbruges til at efterligne Microsofts services til opdatering. Du kan læse mere om tyveriet her.

"Det er ikke muligt for angribere at udnytte et falsk Windows Update-certifikat til at installere malware via Windows Update-serverne," fastslår Jonathan Ness, der er softwareingeniør hos Microsoft Security Response Center (MSRC), i et blogindlæg søndag.

"Windows Update-klienten vil kun installere binære data, der er underskrevet af et faktisk rodcertifikat fra Microsoft, hvilket udstedes og sikres af Microsoft.

Mange certifikater til Microsoft-domæner
Syv af de i alt 531 certifikater, der nu vides at være blevet udstedt i juli under falske forudsætninger til hackere, var til domænerne update.microsoft.com og windowsupdate.com, mens yderligere seks var til *.microsoft.com.

Certifikaterne til windowsupdate.com vil ifølge Microsoft ikke kunne misbruges af angribere, da selskabet ikke længere anvender dette domæne. (Windows Update ligger nu på windowsupdate.microsoft.com.)

Der er dog risiko for udnyttelse af update.microsoft.com - hvilket er domænet brugt af Microsoft Update - og af jokeren *.microsoft.com.

Som Ness påpeger, er opdateringerne, der leveres via Microsofts services, underskrevet med et separat certifikat, som Microsoft holder tæt ind til kroppen.

Uden dette code signing-certifikat vil forsøg på at levere malware forklædt som en opdatering til Windows altid slå fejl.

Andre leverandører heriblandt Apple underskriver også deres softwareopdateringer med et særskilt certifikat.

Læs også:

CIA og MI6 mister vigtige certifikater til hackere


Oversat af Thomas Bøndergaard


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2015 - digital innovation

Computerworld Summit giver dig internationale keynotes, diskussioner, oplæg, netværk og debat om innovation, kompleksitet og sikkerhed i it-afdelingen - sammen med 500 andre danske it-professionelle. Læs mere

SAS Radisson Blu Scandinavia - 2300 København S



Enterprise Content Management - få styr på data-junglen i din virksomhed

De fleste virksomheder genererer i stigende omfang store mængder data fra et stadig voksende antal kilder. Kom til dette How To og hør om gevinsterne ved at få styr på virksomhedens dataflow med de bedste enterprise content management-systemer. Læs mere

Pfizers Konferencecenter - 2750 Ballerup



Server/storage/virtualisering

Virksomhedernes forretningssystemer leverer data som aldrig før, og mængderne vokser i omfang. Det stiller krav til driftslaget om at kunne levere mere for samme budget, noget, det ikke er så nemt at opfylde med skyhøje priser på diske. Private og offentlige skyer giver nye muligheder og nye udfordringer. Og er der måske penge at spare ved at skifte virtualiseringsplatform? Hør om udfordringer og løsninger på Computerworlds How-To. Læs mere

Pfizers Konferencecenter - 2750 Ballerup







Computerworld
Hold øje med denne mail: Danmark rammes igen af udspekuleret phishing-kampagne
Danmark er ramt af udspekulerede angreb, som nu vil fjernbetjene udstyret i en helt bestemt branche.
CIO
Odense Kommune kunne ikke købe sig til it-løsning: Valgte i stedet at udvikle den selv
Der var ingen løsninger på markedet, og derfor valgte Odense Kommune at udvikle sin egen software-løsning. Her fortæller kommunen om erfaringerne med selv at udvikle software.
Comon
Googles Android-kode indtager din bil: Mød det nye Android Auto
Et nyt system fra Google, kaldet Android Auto, vil forsyne dig med data, musik eller beskeder, mens du blæser afsted på motorvejen. Se her, hvordan det virker i praksis.
Channelworld
Stor konkursramt it-forhandler forsøger at sælge fortrolige kundedata
Den konkursramte it-kæde Radioshack forsøger at sælge millionvis af fortrolige kundedata. Flere advokater mener, at salg af fortrolige kundeinformationer er pivulovligt.
White paper
Sådan sørger du for at it-sikkerhedspolitikken er effektiv og konstant opdateret
Antallet af trusler mod virksomhedens dataintegritet mangedobles i takt med, at vi tager flere og flere enhedstyper og cloudservices i brug.