QR code per la pagina originale

Microsoft cambia la gestione dei certificati

Microsoft ha rilasciato sette bollettini di sicurezza e un nuovo sistema che revoca automaticamente tutti i certificati invalidi.

,

Nella serata di ieri Microsoft ha rilasciato sette aggiornamenti di sicurezza, tre classificati come critici e quattro importanti. Il Patch Tuesday di giugno è uno dei più importanti di quest’anno, in quanto oltre alla correzione di 26 vulnerabilità, l’azienda di Redmond ha introdotto un nuovo sistema per l’aggiornamento automatico della lista dei certificati. Il malware Flame, come si ricorderà, sfrutta proprio un falso certificato per entrare nei computer di ignari utenti. Quest’ultimo aspetto è di particolare importanza e ne sottolinea l’urgenza Gerardo Di Giacomo, responsabile Microsoft Security Response Center  :

Questa nuova feature fornisce un meccanismo che permette di contrassegnare certificati come non validi. Windows, infatti, controllerà giornaliermente la presenza di nuovi certificati da invalidare. Fino ad oggi, l’inserimento di certificati nell’Untrusted Certificate Store richiedeva un aggiornamento manuale. Questo nuovo meccanismo automatico, che si avvale di una lista di certificati non validi denominata Disallowed Certificate Trust List (CTL), è documentato nel Windows PKI Blog. Incoraggiamo gli utenti ad installare questa nuova feature il prima possibile.

I tre bollettini critici riguardano Windows, Internet Explorer e il .NET Framework. Microsoft suggerisce di dare la massima priorità alla patch MS12-037 che corregge ben 13 vulnerabilità individuate in tutte le versioni del browser. Un malintenzionato potrebbe ottenere gli stessi diritti dell’utente, eseguendo codice remoto nel caso in cui viene visitato un sito creato ad-hoc. Al secondo posto della classifica di pericolosità c’è la patch MS12-036 che risolve una vulnerabilità in tutte le versioni di Windows. L’ultima patch critica (MS12-038) è relativa al Microsoft .NET Framework e risolve un bug che potrebbe essere sfruttato se l’utente visita una pagina web utilizzando un browser che esegue applicazioni XAML.

I rimanenti quattro aggiornamenti importanti riguardano Microsoft Lync (quattro vulnerabilità risolte), Microsoft Dynamics AX Enterprise Portal (una vulnerabilità) e i sistemi operativi Windows (sette vulnerabilità). Come detto, oltre ai bollettini di sicurezza è stato rilasciato un sistema per aggiornare automaticamente l’Untrusted Certificate Store in Windows Vista e Windows 7. La nuova funzionalità permette di revocare i certificati invalidi mediante una lista denominata Disallowed Certificate Trust List. Windows controllerà giornalmente la presenza di nuovi certificati da invalidare. Fino ad oggi, l’inserimento di certificati nell’Untrusted Certificate Store richiedeva un aggiornamento manuale.

A partire dal mese di agosto, inoltre, Microsoft distribuirà un update che invaliderà tutti i certificati con chiavi RSA minori di 1.024 bit, anche se non sono scaduti e sono firmati da una Certification Authority riconosciuta.