Security Advisory 2641690 -

Microsoft on hetki sitten julkaissut uuden Security Advisoryn 2641690 otsikolla Fraudulent Digital Certificates Could Allow Spoofing. Security Advisory koskee Malesialaista DigiCert Sdn.Bhd -nimistä varmenteiden myöntäjää, joka on myöntänyt varmenteita, joissa on käytetty kohtuullisen heikkoja salausavaimia. Kyseessä on ns. Intermediate-tason varmentaja, joka on käyttänyt varmenteiden myöntämisessä Entrustin ja GTE Cybertrustin myöntämiä varmenteita. Molemmat ovat peruuttaneet DigiCertille myönnetyt varmenteet, mutta Microsoft on eilen julkaissut normaalien päivityskanavien kautta päivityksen, joka vielä siirtää näiden kahden varmentajan DigiCertille myöntämät varmenteet Windowsin ei-luotettujen varmenteiden säilöön. Näin varmistetaan, että DIgiCertin myöntämiä varmenteita ei Windowsissa enää käytetä. Muutos vaikuttaa kaikkiin sovelluksiin, joissa hyödynnetään Microsoftin varmennetoiminnallisuutta, mm. Internet Explorer -selaimeen.

Tarvittava muutos, eli DigiCertin kahden varmenteen siirtäminen ei-luotettujen varmenteiden säilöön tapahtuu siis asentamalla KB-artikkelinumerolla 2641690 varustettu päivitys. Päivitys asentuu normaalien päivitysmenetelmien, eli automaattisten päivitysten, Windows Updaten ja Microsoft Updaten sekä WSUS-palvelun avulla.

Miten voin varmistaa, että muutos on tehty ja oikeat varmenteet on lisätty ei-luotettujen varmenteiden listalle? No se tapahtuu helposti, eli avaa MMC.EXE-niminen ohjelma, lisää siihen (huomaa, että sinulla pitää olla järjestelmänvalvojan oikeudet, lisää siihen varmenteiden hallintatoiminnallisuus valitsemalla File-valikosta Add/Remove Snap-In ja lisäämällä Certificates-niminen snap-in konsoliin. Nyt kun katsot Untrusted Certificates -kohdan alla olevia varmenteita, pitäisi listalla näkyä alla olevassa kuvassa korostetut varmenteet:

Lisätietoja advisorystä löytyy MSRC:n blogista osoitteessa https://blogs.technet.com/msrc/ ja itse advisory löytyy osoitteesta https://technet.microsoft.com/en-us/security/advisory/2641690.