MS01-017: Erradas certificados digitais VeriSign emitidos constituem risco Ocultação

Traduções de Artigos Traduções de Artigos
Artigo: 293818 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

VeriSign, Inc., aconselhável recentemente a Microsoft que em 29 de Janeiro e 30, 2001, que dois VeriSign Classe 3 assinatura em código digitais certificados emitidos para um indivíduo que forma fraudulenta pedido seja um empregado da Microsoft. O nome comum atribuído a ambos os certificados é "Microsoft Corporation". A capacidade para assinar conteúdo executável utilizando chaves purport pertença à Microsoft claramente seria vantajosa a utilizadores mal intencionados que pretendiam convencer os utilizadores para permitir a execução de conteúdo.

Os certificados podem ser utilizados para assinar programas, controlos ActiveX, as macros do Microsoft Office e outros conteúdos executável. Destas opções, controlos ActiveX assinados e macros do Office iriam colocar o maior risco, porque os cenários de ataque que implicam-los seria mais simples. Controlos ActiveX e documentos do Microsoft Word podem ser entregues por páginas Web ou mensagens de correio electrónico em HTML. Controlos ActiveX podem ser invocados automaticamente por um script e documentos do Word podem ser automaticamente abertos por um script, a menos que tenha aplicado a ferramenta de confirmação de abertura de documentos Microsoft Office.

Apesar dos certificados de estado que são propriedade pela Microsoft, não são certificados da Microsoft reais e conteúdo que está assinado por eles não seria fidedigno por predefinição. Fidedignidade está definida num regime por certificado, em vez de na base do nome comum. Por conseguinte, uma mensagem de aviso deve ser apresentada qualquer conteúdo assinado poderia ser executado, mesmo que anteriormente tinha combinado confiar em outros certificados com o nome comum "Microsoft Corporation". O perigo é até um utilizador preocupados com a segurança pode aceitar permitem a execução de conteúdo e, pode aceitar sempre confiar em certificados fraudulentos.

VeriSign revogou os certificados e são listados da lista de revogação de certificados actual VeriSign (CRL). No entanto, uma vez que os certificados de assinatura em código da VeriSign não especificar um ponto de distribuição de CRL (CDP), não é possível para a verificação CRL mecanismo qualquer browser para transferir a CRL VeriSign e utilizá-lo. A Microsoft desenvolveu uma actualização que rectifies este problema. O pacote de actualização inclui uma CRL com dois certificados e um processador de revogação instalável que consulta a CRL no computador local em vez de tentar utilizar o mecanismo CDP.

Para obter informações adicionais sobre esta actualização, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft:
293811Actualização disponível revogar certificados de Microsoft fraudulento emitidos pela VeriSign

Mais Informação

Factores atenuantes

  • Os certificados não considerada fidedigna por predefinição. Por conseguinte, nem o código como controlos ActiveX foi estabelecidos sejam executados sem apresentar uma mensagem de aviso. Visualizando o certificado essas mensagens, pode facilmente reconhecer os certificados.
  • Os certificados não são os certificados de assinatura de código de Microsoft reais. Conteúdo que está assinado por essas chaves pode ser distinguido da conteúdo real do Microsoft.
Para obter informações adicionais sobre como revogar o o estado fidedigno para estes certificados, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft:
293816Como determinar se é ter aceite fidedignidade para certificados emitidos VeriSign fraudulento
Para obter informações adicionais, consulte o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/bulletin/ms01-017.mspx
Windows NT Server 4.0, Terminal Server Edition os utilizadores pode obter o Windows NT Server 4.0 Terminal Server Edition, Security Rollup Package (SRP). Para obter informações adicionais sobre o SRP, clique no número de artigo existente abaixo para visualizar o artigo na base de dados de conhecimento da Microsoft:
317636Windows NT Server 4.0, Terminal Server Edition, Security Rollup Package

Propriedades

Artigo: 293818 - Última revisão: 21 de fevereiro de 2007 - Revisão: 3.1
A informação contida neste artigo aplica-se a:
  • Microsoft Windows NT Server 4.0, Terminal Server Edition Service Pack 4
  • Microsoft Windows NT Server 4.0 Terminal Server Service Pack 5
  • Microsoft Windows NT Server 4.0 Terminal Server Service Pack 6
  • Microsoft Windows 2000 Server SP1
  • Microsoft Windows 2000 Advanced Server SP1
  • Microsoft Windows 2000 Professional SP1
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT 4.0 Service Pack 1
  • Microsoft Windows NT 4.0 Service Pack 2
  • Microsoft Windows NT 4.0 Service Pack 3
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows NT 4.0 Service Pack 6a
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows NT 4.0 Service Pack 6a
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows Millennium Edition
  • Microsoft Windows 98 Segunda Edição
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
Palavras-chave: 
kbmt kb3rdparty kbinfo kbsechack kbsecurity KB293818 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 293818

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com