Security Advisory 2718704 – joidenkin Microsoftin juurivarmenteeseen perustuvien varmenteiden peruuttaminen

Microsoft on julkaissut uuden Security Advisoryn 2718704 otsikolla “Unauthorized Digital Certificates Could Allow Spoofing”. Security Advisory liittyy sovellusten allekirjoittamisessa käytettyihin varmenteisiin ja niiden luottamuksen peruuttamiseen Windows-käytöjärjestelmässä varustetuissa järjestelmissä. Ongelman taustalla on kohtuullisen paljon julkisuutta saanut Flame-niminen haittaohjelma. Microsoft on haittaohjelmaa tutkiessaan havainnut, että jotkut sen komponentit on allekirjoitettu käyttämällä joihinkin Microsoftin Intermediate-varmenteisiin (ja sitä kautta…

0

Ennakkotieto helmikuun 2012 tietoturvatiedotteista

Microsoftin Security Response Center julkaisi torstaina 9.2.2012 ennakkotiedon helmikuun 2012 normaalin aikataulun puitteissa julkaistavista tietoturvatiedotteista. Tiistaina 14.2. julkaistaan tämän hetkisen tiedon mukaan 9 uutta tietoturvatiedotetta: tiedotteista neljä on luokitukseltaan kriittisiä (Critical) muut viisi tiedotetta ovat luokitukseltaan tärkeitä (Important) tiedotteista kuusi koskee Windowsin eri tuettuja versioita, ja yksi näistä koskee myös Silverlightin versiota 4.0 yksi tiedote koskee Internet Explorer -selainta…

0

Tammikuun 2012 tietoturvatiedotteet

Microsoft julkaisi eilen 10.1.2012 vuoden ensimmäiset tietoturvatiedotteet. Kuten viime torstaina julkaistussa ennakkotiedotteessa todettiin, tässä kuussa tuli ulos seitsemän uutta tietoturvatiedotetta, joista kuusi koskee Windowsin eri tuettuja versioita ja seitsemäs Microsoftin kehitysympäristöjä. Windowsia koskevista tiedotteista yksi on luokitukseltaan kriittinen ja loput kuusi tiedotetta luokitukseltaan tärkeitä. Yhteenveto tiedotteista: Kuten aikaisempinakin kuukausina, tiedotteet on myös jaettu prioriteettijärjestykseen: Microsoftin…

0

Ennakkotieto tammikuun 2012 tietoturvatiedotteista

Microsoftin Security Response Center julkaisi eilen 5.1.2012 ennakkotiedon tammikuun 2012 normaalin aikataulun puitteissa julkaistavista tietoturvatiedotteista. Tulevan viikon tiistaina 10.1. julkaistaan tämän hetken tiedon mukaan 7 uutta tietoturvatiedotetta: tiedotteista yksi on luokitukseltaan kriittinen (Critical) muut kuusi tiedotetta ovat luokitukseltaan tärkeitä (Important) tiedotteista kuusi koskee Windowsin eri tuettuja versioita seitsemäs tiedote koskee Microsoftin kehitystyökaluja tiedotteissa on korjattu…

0

Lisähuomio tietoturvatiedotteesta MS11-100

Edellisessä tiedotetta MS11-100 käsittelevässä blogipostauksessa mainitsin päivityksen testaamisesta. Testauksen tärkeyttä ei voi liikaa korostaa – kaikkien vähäänkään kriittisempien webbipalvelimien osalta tämä päivitys on testattava huolella, koska sen asentaminen vaikuttaa mm. käyttäjätunnistuksen toimintaan, erityisesti käytettäessä lomakepohjaista tunnistusta (Forms Based Authentication). Lisäksi kannattaa huomioida myös tiedotteessa haavoittuvuuden CVE-2011-3416 kohdalla mainittu seikka palvelinfarmeista (web-palvelimista, joissa useita palvelimia on…

0

Tietoturvatiedote MS11-100 julkaistu normaalin aikataulun ulkopuolella

Microsoft julkaisi tietoturvatiedotteen MS11-100 normaalista aikataulusta poiketen eilen illalla 29.12.2011 n. klo 20.00 Suomen aikaa. Tietoturvatiedote koskee .NET Frameworkin ASP.NET-kirjastoa ja siinä on korjattu neljä eri haavoittuvuutta, mm. Security Advisoryssä 2659883 kuvattu Hash Table -toiminnallisuuteen liittyvä haavoittuvuus, joka on myös ollut julkisesti tiedossa ennen tiedotteen julkaisemista. Tiedote on luokitukseltaan kriittinen ja Microsoft suosittelee, että se…

1

Security Advisory 2659883 – Haavoittuvuus ASP.NET-kirjastossa

Microsoft on julkaissut uuden Security Advisoryn 2659883 otsikolla Vulnerability in ASP.NET Could Allow Denial of Service. Security Advisory koskee ASP.NET-kirjastoa kaikissa tällä hetkellä tuetuissa .NET Frameworkin versioissa. ASP.NET-kirjastosta on löydetty haavoittuvuus, joka liittyy kirjaston tapaan käsitellä hash table -tietoja web-palvelimessa, jossa jokin web-sivu voi vastaanottaa tietoja ASP.NET-pohjaiselle lomakkeelle HTTP POST -pyynnön välityksellä. Vihamielinen hyökkääjä voi hyödyntää haavoittuvuutta…

0

Security Advisory 2641690 –

Microsoft on hetki sitten julkaissut uuden Security Advisoryn 2641690 otsikolla Fraudulent Digital Certificates Could Allow Spoofing. Security Advisory koskee Malesialaista DigiCert Sdn.Bhd -nimistä varmenteiden myöntäjää, joka on myöntänyt varmenteita, joissa on käytetty kohtuullisen heikkoja salausavaimia. Kyseessä on ns. Intermediate-tason varmentaja, joka on käyttänyt varmenteiden myöntämisessä Entrustin ja GTE Cybertrustin myöntämiä varmenteita. Molemmat ovat peruuttaneet DigiCertille myönnetyt…

0

Muutoksia tietoturvatiedottamisessa marraskuusta 2011 lähtien

Microsoft on julkaissut tietoturvatiedotteita kuukausittain vuoden 2003 syksystä lähtien, ja koko tämän ajan olemme myös tiedottaneet paikallisesti tiedotteiden julkaisusta suomenkielisen koostesähköpostin sekä paikallisen verkkokokouksen kautta. Tämän vuoden marraskuusta lähtien siirrymme hyödyntämään kansainvälistä tiedotuskäytäntöä. Tämä tarkoittaa kahta muutosta tiedotuskäytäntöön: 1. Suomenkielistä sähköpostikoostetta ei enää lähetetä, vaan sen korvaa englanninkielinen sähköpostitse lähetettävä ilmoitus tietoturvatiedotteista. Englanninkielisten tiedotteiden jakelulistalle…

0

Webcast lokakuun 2011 tietoturvatiedotteista

Microsoft julkaisi tiistaina 11.10.2011 normaalin julkaisuaikataulun mukaisesti lokakuun tietoturvatiedotteet, ja aikaisempien kuukausien tapaan järjestämme tiedotteista myös webcastin. Kuten aiemminkin, webcastin agendalla on ensin kunkin yksittäisen tietoturvatiedotteen läpikäynti, sen jälkeen hieman yleisiä tietoja tiedotteista ja niihin liittyvistä tietoturvapäivityksistä, kuten tietoja päivitystarpeen tunnistamisesta ja päivitysten jakelusta, ja lopuksi vielä joitain muita tietoturvaan liittyviä tietoja. Viimeisessä osuudessa on…

0