A partir de hoje a Microsoft está distribuindo por meio do seu serviço Windows Update, uma lista de 9 certificados digitais fraudulentos assinados pela Comodo, uma autoridade de certificação digital presente na raiz de autoridades certificadoras confiáveis que atinge todas as versões suportadas do Microsoft Windows. A própria Como advertiu a Microsoft em março sobre a assinatura desses certificados por terceiros sem a validação de identificação suficiente . Ela adverte que esses certificados podem ser usados para conteúdo similar, efetuar ataques phishing ouefetuar ataques sobre os usuários do navegador Internet Explorer. Segue abaixo a relação dos endereços afetados:
- login.live.com
- mail.google.com
- www.google.com
- login.yahoo.com (3 certificados)
- login.skype.com
- addons.mozilla.org
- “Global Trustee”
A Comodo revogou estes certificados e os adicionou à lista de certificados revogados de sua empresa. Navegadores que utilizam-se doOCSP (Online Certificate Status Protocol) irão interagir e tentar validar esses certificados; bloqueando-os de serem usados.
A atualização afeta todas as versões do Windows, inclusive XP, Vista, Windows 7, Windows Server 2003 e Windows Server 2008.
Fonte: http://www.microsoft.com/technet/security/advisory/2524375.mspx