MS01-017: Erradas certificados digitais emitidos VeriSign representam perigosos da falsificação

Traduções deste artigo Traduções deste artigo
ID do artigo: 293818 - Exibir os produtos aos quais esse artigo se aplica.
Expandir tudo | Recolher tudo

Neste artigo

Sumário

VeriSign, Inc., recentemente aconselhado Microsoft que em 29 de janeiro e 30, 2001, que ele emitido dois certificados digitais assinatura de código de VeriSign classe 3 para um indivíduo que pediam maneira fraudulenta para ser um funcionário da Microsoft. O nome comum atribuído a ambos os certificados é "Microsoft Corporation". A capacidade de assinar conteúdo executável usando chaves purport pertencem à Microsoft claramente seria vantajosa para um usuário mal-intencionado que desejavam convencer os usuários para permitir que o conteúdo seja executado.

Os certificados podem ser usados para assinar programas, controles ActiveX, macros do Microsoft Office e outro conteúdo executável. Dessas, controles ActiveX assinados e macros do Office devem representar o maior risco, porque os cenários de ataque que envolvem-los seria mais simples. Controles ActiveX e documentos do Microsoft Word podem ser entregue mensagens de email em HTML ou páginas da Web. Controles ActiveX podem ser chamados por um script automaticamente e documentos do Word podem ser automaticamente abertos por um script, a menos que você tenha aplicado a ferramenta Microsoft Office Document Open Confirmation.

Embora os certificados estado se eles pertencem pela Microsoft, eles não são certificados Microsoft reais e conteúdo que está assinado por eles não deve ser confiáveis por padrão. Relação de confiança é definida em uma base de certificado por certificado, em vez de com base do nome comum. Portanto, uma mensagem de aviso deve ser exibida antes de qualquer conteúdo assinado pode ser executado, mesmo se você anteriormente tinha concordou em outros certificados com o nome comum "Microsoft Corporation". O perigo é que até mesmo um usuário sensível à segurança pode concordar em permitir que a execução de conteúdo e pode aceitar sempre confiar em certificados fraudulentos.

VeriSign revogada os certificados e estão listados na lista de revogação de certificados atual de VeriSign (CRL). No entanto, como os certificados de assinatura de código VeriSign não especificar um CDP (ponto de distribuição de CRL), não é possível para mecanismo de verificação de CRL do qualquer navegador para baixar a CRL VeriSign e usá-lo. A Microsoft desenvolveu uma atualização que rectifies esse problema. O pacote de atualização inclui uma lista contendo dois certificados e um manipulador de revogação instalável consulta a CRL no computador local em vez de tentar usar o mecanismo CDP.

Para obter informações adicionais sobre esta atualização, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
293811Atualização disponível para revogar certificados Microsoft fraudulento emitidos pela VeriSign

Mais Informações

Fatores atenuantes

  • Por padrão, os certificados não são confiáveis. Portanto, não código nem os controles ActiveX podem ser feitos para executar sem exibir uma mensagem de aviso. Ao exibir o certificado nessas mensagens, você pode reconhecer facilmente os certificados.
  • Os certificados não são os certificados de assinatura de código do Microsoft reais. Conteúdo que está assinado por essas chaves pode ser distintos do conteúdo real do Microsoft.
Para obter informações adicionais sobre como revogar o status confiável desses certificados, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
293816Como determinar se você tiver aceito confiança para certificados emitidos VeriSign fraudulento
Para obter informações adicionais, consulte o seguinte site:
http://www.microsoft.com/technet/security/bulletin/ms01-017.mspx
Windows NT Server 4.0, os usuários do Terminal Server Edition pode obter o Windows NT Server 4.0 Terminal Server Edition, Security Rollup Package (SRP). Para obter informações adicionais sobre o SRP, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
317636Windows NT Server 4.0, Terminal Server Edition, Security Rollup Package

Propriedades

ID do artigo: 293818 - Última revisão: quarta-feira, 21 de fevereiro de 2007 - Revisão: 3.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows NT Server 4.0, Terminal Server Edition Service Pack 4
  • Microsoft Windows NT Server 4.0, Terminal Server Edition Service Pack 5
  • Microsoft Windows NT Server 4.0, Terminal Server Edition Service Pack 6
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Professional SP1
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT 4.0 Service Pack 1
  • Microsoft Windows NT 4.0 Service Pack 2
  • Microsoft Windows NT 4.0 Service Pack 3
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows NT 4.0 Service Pack 6a
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows NT 4.0 Service Pack 6a
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows Millennium Edition
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
Palavras-chave: 
kbmt kb3rdparty kbinfo kbsechack kbsecurity KB293818 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 293818

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com