Microsoft Security-Advisory 3119884 zu Dell-Zertifikaten

Bereits gestern hat Microsoft das Security Advisory 3119884 mit dem sperrigen Titel Inadvertently Disclosed Digital Certificates Could Allow Spoofing veröffentlicht.


Anzeige

Hintergrund des Ganzen sind die durch Dell ausgegebenen, selbst signierten Root-CD-Zertifikate, deren private Schlüssel öffentlich kursieren. Damit können Dritte eigene Zertifkate als vertrauenswürdig unter Windows erklären und damit verschlüsselte Kommunikation per man-in-the-middle Attacke mithören.

Microsoft will mit einem Update der Certificate Trust List (CTL) für alle noch unterstützten Windows-Versionen die beiden Dell-Zertifikate für ungültig erklären. In Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012, Windows Server 2012 R2, Windows 10 (incl. Version 1511) ist ein entsprechender Update-Mechanismus enthalten. Gleiches gilt für Windows Phone 8 , Windows Phone 8.1 und Windows 10 Mobile.

Ist in Windows Vista, Windows 7, Windows Server 2008 oder Windows Server 2008 R2 die automatischen Updates zugelassen, werden die Certificate Trust Lists automatisch aktualisiert (siehe Microsoft Knowledge Base Article 2677070 – Link geht z.Z. noch nicht). Ein paar Infos hat heise.de hier veröffentlicht.

PS: Von Dell gibt es einen “Dell Foundation Service”, der das Tracking von Nutzern ermöglicht, wie man hier bei heise.de nachlesen kann.

Ähnliche Artikel:
Sicherheits-GAU: Dell-Zertifkat bringt massive Sicherheitslücke
Nächstes Dell Root-Zertifikat reißt Sicherheitslücke auf …
Adware in Windows (Defender) blockieren
Microsofts Sicherheitssoftware entfernt Dell Root-Zertifikate


Anzeige


Dieser Beitrag wurde unter Sicherheit, Windows, Windows 10, Windows 7, Windows 8, Windows 8.1, Windows Phone, Windows Server abgelegt und mit Dell Zertifikate, Sicherheit, Windows, Zertifikate verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.