image

Microsoft blundert met DigiNotar-update

dinsdag 20 september 2011, 08:19 door Redactie, 4 reacties

Microsoft heeft de DigiNotar-update voor Windows systemen door een blunder opnieuw moeten uitgeven. De update die vorige week uitkwam om de honderden gecompromitteerde DigiNotar-certificaten ongeldig te maken en te blokkeren, bevatte niet de certificaten die ook daadwerkelijk in Iran voor het afluisteren van Gmail-gebruikers zijn gebruikt. Gebruikers die de update hadden geïnstalleerd, waren dan ook nog steeds kwetsbaar voor aanvallen via valse SSL-certificaten, zo laat Microsoft in de aangepaste advisory weten.

Update
Het probleem treft alleen gebruikers van Windows XP en Windows Server 2003. Systemen die Automatische Update hebben ingeschakeld krijgen de update automatisch aangeboden. Gebruikers van Windows 7, Vista en Server 2008 hoeven geen actie te ondernemen.

De onvolledige update werd in een vroeg stadium door onze eigen Erik van Straten ontdekt, die het probleem op het Security.nl forum uitgebreid beschreef en Microsoft ook inlichtte.

Reacties (4)
20-09-2011, 08:46 door Anoniem
Wat een tendentieus gezeur zeg, net of Microsoft de enige was. Bij Mozilla snapten ze al niet wat intermediaire certificaten waren en daar werden ook de verkeerde certificaten geblokkeerd. Beetje jammer dit.
20-09-2011, 09:41 door PeterB
Mooi verhaal. Zo zie je maar weer. "Haast en spoed zijn zelden goed".
...en ondertussen maar zeiken op mac dat die nog geen update had....ja hoor mensen...

beter geen update dan een halve update.
20-09-2011, 09:52 door Erik van Straten
@Redactie: dank voor het onder de aandacht brengen!

Echter: dit lost nog NIET een probleem op dat met name op PC's van de overheid en in de de gezondheidszorg zou kunnen spelen. Er zijn namelijk een tweetal extra DigiNotar root certificaten verspreid die, ondanks de update van gisteravond, nog steeds NIET worden geblacklist.

Update http://support.microsoft.com/kb/2616676 van gisteravond blacklist nu 1 "DigiNotar Root CA" dat een echt root certificate is (er worden er nu nog twee met die titel geblokkeerd, maar die zijn ondertekend door Entrust).

BELANGRIJK: dit blacklisten gebeurt niet door het verwijderen van die certficaten uit de tabel "Vertrouwde basiscertificeringsinstanties" (Engels: "Trusted Root Certification Authorities"), maar door kopieën van die certificaten toe te voegen aan de tabel "Niet-vertrouwde uitgevers" (Engels: "Untrusted Certificates").

Bij de nog niet geblackliste DigiNotar root certificaten gaat het om twee stuks eveneens echte root certiificaten getiteld "DigiNotar Root CA" met een identieke public key als het nu wel geblackliste "DigiNotar Root CA". Met één of beide certificaten op je systeem zullen websites die van vervalste DigiNoter certificaten gewoon worden geaccepteerd. Ook wordt de door de ComodoHacker verspreide "calc.exe" ondertekend met het door hem bij DigiNotar gegenereerde *.google.com certificaat gewoon als geldig beschouwd. Dit kan natuurlijk ook gelden voor e-mails met digitale handtekeningen en mogelijk versleutelde ZorgTTP gegevens.

Zodra ik tijd heb zal ik http://www.security.nl/artikel/38501/1/%28NL%29_MS_DigiNotar_patch_incompleet!.html en http://www.security.nl/artikel/38496/1/MS_Diginotar_patch_incompleet!_Nu_bevestigd_door_Microsoft..html bijwerken met de nieuwe informatie.

N.b. testen op DigiNotar certificaten bij https://auth.pass.nl/ werkt niet meer, omdat DigiNotar sinds gisteren gebruik maakt van Comodo certficaten (brothers in harms?)
20-09-2011, 11:20 door Anoniem
Door PeterB: Mooi verhaal. Zo zie je maar weer. "Haast en spoed zijn zelden goed".
...en ondertussen maar zeiken op mac dat die nog geen update had....ja hoor mensen...

beter geen update dan een halve update.

Apple heeft nog steeds geen updates voor de iPhon en Google heeft nog steeds geen oplossing voor de Android toestellen. Dus smartphones lopen nog steeds gevaar.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.