Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
MS02-050 Validación de certificados falsos (329115)
 
VSantivirus No. 795 - Año 6 - Miércoles 11 setiembre de 2002
VSantivirus No. 1232 Año 8, Viernes 21 de noviembre de 2003

 MS02-050 Validación de certificados falsos (329115)
http://www.vsantivirus.com/vulms02-050.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Parche crítico para el problema de los certificados.

Nivel de gravedad: Importante
Impacto: Falsa identidad y posible acceso al sistema
Fecha publicación: 4 de setiembre de 2002
Fecha revisión: 11 de noviembre de 2003

Programas afectados:

Microsoft Windows 98
Microsoft Windows 98 Second Edition
Microsoft Windows Me
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0, Terminal Server Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Office for Mac
Microsoft Internet Explorer for Mac
Microsoft Outlook Express for Mac

Actualización (solo para usuarios de Win 2000 con SP4)

 [Actualización 21/nov/03]

La versión original de este boletín fue publicada en setiembre de 2002. Microsoft lanzó una actualización solo para Microsoft Windows 2000 Service Pack 4 (SP4), en noviembre de 2003, para solucionar un problema de regresión cuando se instala el Service Pack 1 para Microsoft Internet Explorer 6.0 bajo dicha versión del sistema operativo.

Al instalar el SP1 del Internet Explorer en Windows 2000 con Service Pack 4, se elimina la protección que proporcionaba este parche.

Todos los usuarios que utilicen Windows 2000 SP4 y hayan instalado Internet Explorer 6.0 Service Pack 1, deberán aplicar el parche actualizado desde el siguiente enlace:

Actualización para Windows 2000: KB329115 - Español (327 Kb)
http://www.microsoft.com/downloads/details.aspx?FamilyId=
065DCA01-1F6F-4F88-AE9E-6F4636D43D9F&displaylang=es

Actualización para Windows 2000: KB329115 - Inglés (324 Kb)
http://www.microsoft.com/downloads/details.aspx?FamilyId=
065DCA01-1F6F-4F88-AE9E-6F4636D43D9F&displaylang=en

Otras versiones del sistema operativo no son afectadas. 

Descripción original:

Una importante vulnerabilidad en Windows durante la validación de certificados, puede permitir ataques del tipo suplantación de personalidad, así como eludir cualquier autenticación basada en certificados legítimos.

El estándar del perfil de los certificados, define varios campos adicionales que pueden ser incluidos en el certificado digital. Cuando se definen más certificados, el no chequeo de la API "Basic Constraints", usada para validar el código, puede permitir a un atacante que posea un certificado válido, crear otros, que a pesar de ser falsos, serán validados.

Esto puede ocasionar el robo de información y la suplantación de identidad, entre otros ataques, además de permitir la descarga de software malicioso.

Parches y más información:

Los parches pueden descargarse del siguiente enlace:

Microsoft Security Bulletin MS02-050
Certificate Validation Flaw Could Enable Identity Spoofing
http://www.microsoft.com/technet/security/bulletin/MS02-050.asp

Más información:

Microsoft Knowledge Base Article - 329115
http://support.microsoft.com/?kbid=329115

Falla crítica: Borrado de certificados digitales
http://www.vsantivirus.com/vulms02-048.htm

Para Microsoft el problema no es el IE, es Windows
http://www.vsantivirus.com/17-08-02.htm





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS