Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Solución para el problema de los falsos certificados
 
VSantivirus No. 264 - Año 5 - Jueves 29 de marzo de 2001

28/03/2001 - Finalmente, Microsoft solucionó el problema de los certificados
[Extraído de Virus Attack! http://www.virusattack.com.ar]

Microsoft ya había abierto un Boletín de Seguridad el 22 de Marzo de este año en el que explicaba el problema ocasionado por los certificados que VeriSign otorgó a una persona no perteneciente a la empresa, y los posibles alcances de su utilización.

Asimismo, también había anunciado que un parche para corregir el problema sería desarrollado a la brevedad, para que los usuarios de sus productos pudieran actualizarlos a fin de evitar cualquier problema relacionado con los certificados falsos. 

Justamente hoy, Microsoft anunció la disponibilidad de dicho parche, el cual, al ser instalado en un sistema ejecutando Windows, y una versión posterior a Internet Explorer 4, revoca los certificados en cuestión, incluyéndolos en la CRL (Certificate Revocation List) local. 

De esta manera, si cualquier código firmado por los certificados falsos es ejecutado en un sistema que tiene aplicada dicha actualización, el mismo no podrá realizar ninguna acción en el sistema y será bloqueado. 

Para aprovechar mejor la funcionalidad de las listas de certificados, Microsoft insta a sus usuarios a actualizar su Internet Explorer a cualquier versión posterior a la 5, dado que estas contienen un mejor control de certificados. Cualquier versión del Internet Explorer anterior a la 4, directamente no contiene ninguna funcionalidad de este tipo, por lo que aplicar el parche en un sistema de dichas características será completamente inútil.

Según el propio Boletín de Microsoft, el parche fue probado con las versiones 4.01 SP2, 5.01 SP1 o SP2 y 5.5 SP1 del Internet Explorer, y puede ser aplicado sin inconvenientes en las versiones 9x (incluyendo 98 Second Edition), Me, NT (con SP4 o posterior) y 2000 de la plataforma Windows.

Si el sistema es actualizado de alguna forma que afecte la versión del Internet Explorer, el parche deberá ser reaplicado. El mismo será incluido en futuras versiones de los productos de Microsoft, como Internet Explorer 6, Windows XP Gold, y Windows 2000 Service Pack 2.

Para que el parche funcione correctamente, deben estar activadas las casillas "Comprobar la revocación de certificados del servidor" y "Comprobar la revocación del certificado de publicación" en la parte de Seguridad, de la ficha Opciones Avanzadas de las Opciones de Internet, a las que puede accederse desde el Internet Explorer, en su menú de Herramientas.

También es bueno aclarar que este parche puede ser instalado en cualquier sistema Windows, bajo cualquier lenguaje.

Se recomienda que todos los usuarios bajen e instalen este parche, y aquellos con una versión de Internet Explorer anterior a la 4, antes actualicen dicha aplicación.

Más información

Boletín de Seguridad MS00-017
http://www.microsoft.com/technet/security/bulletin/ms01-017.asp

Parche
http://www.microsoft.com/downloads/release.asp?ReleaseID=28888

Fuente: Virus Attack! (http://www.virusattack.com.ar)


Ver también:
VSantivirus No. 258
23/mar/01 - Advertencia sobre certificados digitales falsos 		 

Copyright 1996-2001 Video Soft BBS