[SECURITY-L] MS corrige bugs graves de criptografia no Windows

Daniela Regina Barbetti Silva daniela em ccuec.unicamp.br
Sex Set 6 15:21:13 -03 2002 

----- Forwarded message from caio_sm <caio_sm em ibahia.com> -----

From: "caio_sm" <caio_sm em ibahia.com>
Subject: MS corrige bugs graves de criptografia no Windows 
To: daniela em ccuec.unicamp.br
Date: Thu, 05 Sep 2002 19:11:47 GMT


MS corrige bugs graves de criptografia no Windows 

Quinta-feira, 5 de Setembro de 2002 - 15h19 

IDG Now!

A Microsoft liberou nesta quinta-feira um patche capaz de corrigir um
buraco de segurança em seu software de criptografia, que permite que
hackers utilizem falsos certificados digitais para invadir comunicações
seguras e forjar assinaturas digitais. 
A falha, descoberta no mês passado pelo pesquisador independente Mike
Benham, foi encontrada no Windows cryptography API (CryptoAPI), ferramenta
responsável pelo fornecimento do framework do sistema operacional que os
programas utilizam para obter serviços criptografados. O CryptoAPI oferece
suporte para criptografia, decodificação, tratamento do certificado
digital, entre outras tarefas. 

A atualização aplica-se a múltiplas versões do Windows e três programas
para usuários de Macintosh: Office, Internet Explorer e Outlook Express. As
versões afetadas do sistema operacional incluem o Windows 98, 98 Second
Edition, ME, NT 4.0, NT 4.0 Terminal Server Edition, 2000 e XP. O patche,
no entanto, ainda não está disponível para todas as versões do Windows,
somente para o NT 4.0 e o XP. 

O problema, segundo o especialista, é que o CryptoAPI não controla o "Basic
Constraints", uma espécie de parâmetro utilizado para validar os
certificados digitais seguindo a hierarquia das autoridades de
certificação, como a VeriSign. Isso significa que falsos certificados podem
ser criados e utilizados como se fossem reais, sem serem detectados pelo
software da Microsoft. 

A vulnerabilidade pode ser utilizada para gerar diversos tipos de ataques.
Os certificados forjados são capazes, por exemplo, de verificar a
identidade do remetente de um e-mail ou a de um servidor. Também poderiam
ser utilizados para roubar sessões do IPSec e, entre outras coisas, enganar
os sistemas de autenticação baseados em certificados fazendo com que os
usuários acreditem que o código veio mesmo de uma fonte confiável. 


[ John Fontana - Network World Fusion, EUA ]



Fonte: IDG Now - http://idgnow.terra.com.br/idgnow/internet/2002/09/0013




Caio Souza Mendes

----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L