Comunicado de Segurança Microsoft 3050995 Lançado em 24 de Março de 2015 – Certificados Digitais Emitidos Incorretamente Podem Permitir a Falsificação

 Qual é o objetivo deste alerta?

 

Esse alerta tem por objetivo notificá-lo que a Microsoft lançou o Comunicado de Segurança 3050995 – Certificados Digitais Emitidos Incorretamente Podem Permitir a Falsificação – em 24 de março de 2015.

 

Resumo 

A Microsoft está ciente de um certificado SSL emitido incorretamente pela autoridade de certificação subordinada, MCS Holdings, que poderia ser usado em tentativas de falsificar conteúdo, executar ataques de phishing ou executar ataques do tipo man-in-the-middle. Os certificados emitidos incorretamente não podem ser usados para emitir outros certificados, impersonificar outros domínios ou assinar código. Este problema afeta todas as versões suportadas do Microsoft Windows.

Para ajudar a proteger os clientes contra o uso potencialmente fraudulento desses certificados emitidos incorretamente, a Microsoft está atualizando a lista de certificados confiáveis para remover a confiança do certificado da autoridade de certificação subordinada. A raiz confiável de autoridade de certificação, China Internet Network Information Center (CNNIC), revogou também o certificado de autoridade de certificação subordinada. A Microsoft está trabalhando em uma atualização para os clientes do Windows Server 2003 e irá liberá-lo uma vez totalmente testado. Para obter mais informações sobre estes certificados, consulte a seção de Perguntas Frequentes do comunicado.

 

Recomendações 

Um atualizador automático de certificados revogados está incluído nas edições suportadas do Windows 8, Windows Server 2012, Windows RT, Windows RT 8.1, Windows Server 8,1 e Windows Server 2012 R2, e para dispositivos que executam o Windows Phone 8 e Windows Phone 8.1. Para esses sistemas operacionais e dispositivos, os clientes não precisam tomar nenhuma ação, pois a lista de certificados confiáveis será atualizada automaticamente. 

Para sistemas que executam o Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2 e estão usando o atualizador automático de certificados revogados (veja o artigo 2677070 da Base de Conhecimento Microsoft para mais detalhes), os clientes não precisam tomar qualquer ação, pois estes sistemas estarão automaticamente protegidos.

 Leia o Comunicado de Segurança Microsoft 3050995 para obter detalhes adicionais sobre componentes afetados, fatores de mitigação, ações sugeridas, perguntas frequentes (FAQ) e links para recursos adicionais.

  

Recursos Adicionais

 

Nota Sobre a Consistência das Informações

 

Nos esforçamos para fornecer informações precisas em conteúdo estático (esta correspondência) e dinâmico (baseado na Web). O conteúdo de segurança da Microsoft publicado na Web é atualizado ocasionalmente para refletir informações alteradas. Se isso resultar em inconsistência entre as informações aqui contidas e aquelas no conteúdo de segurança baseado na Web da Microsoft, as informações no conteúdo de segurança baseado na Web da Microsoft é o oficial.

 

Se você ainda tiver alguma dúvida sobre este alerta, por favor, entre em contato com seu Gerente de Contas Técnico ou Consultor de Desenvolvimento de Aplicações.

 

 

Atenciosamente,

 

Equipe de Segurança Microsoft CSS