Bienvenue sur JeuxOnLine - MMO, MMORPG et MOBA !
Les sites de JeuxOnLine...
 

Panneau de contrôle

Recherche | Retour aux forums

JOL Archives

vB Archives des forums MMO/MMORPG > Forums divers > La Taverne > [Patch] - Vulnérabilité concernant les certificats numériques et l'authentification.

[Patch] - Vulnérabilité concernant les certificats numériques et l#8217;authentification.

Par TheYoMan / Ze Iomane le 5/9/2002 à 11:25:57 (#2100223)

Suite a mon post du 30 Aout 2002, voici le patch correctif....


T e c h A l e r t e (5 septembre 2002)
Le service d'alertes de sécurité par Email.

> Faille certificats : le patch est disponible

Microsoft vient de sortir un patch pour corriger la vulnérabilité
concernant les certificats numériques et lauthentification de signatures.

Nous avons été surpris par la réactivité de Microsoft sur le sujet ;-)

Microsoft fournit de plus des explications précises sur cette
vulnérabilité et ses modes dexploitation :

Le profil IETF du standard de certificat X.509 définit plusieurs champs optionnels pouvant être intégrés à un certificat numérique. Lun dentre eux, le champ Basic Constraints, indique la longueur maximale autorisée de la chaîne de certificats, et précise si le certificat émane dune Certificate Authority ou dun organisme intermédiaire.

Les APIs de CryptoAPI qui construisent et valident les chaînes de
certificats CertGetCertificateChain(), CertVerifyCertificateChainPolicy(),
et WinVerifyTrust() ne vérifient pas le champ Basic Constraints.

Cette vulnérabilité est présente dans les produits Microsoft suivants :

- Windows
- Office for Mac
- Internet Explorer for Mac
- Outlook Express for Mac.

Cette vulnérabilité peut permettre à un agresseur différentes attaques de type spoofing :

- faire passer un site Web pour un autre en prouvant son identité en établissant une session SSL
- usurper lidentité dun expéditeur dEmails
- leurrer un système dauthentification afin dobtenir une élévation de privilèges
-


Informations détaillées et téléchargement du patch :
http://www.microsoft.com/technet/security/bulletin/ms02-050.asp

N.B : le patch disponible concerne Windows NT 4.0, Windows NT 4.0 Terminal
Server Edition, Windows XP, et Windows XP 64 bit Edition.



Bravo, Kro$oft a vite reagit. ;)



Nos études ont montré que la probabilité qu'un programme corrigé fonctionne comme avant la correction est seulement de cinquante pour cent.
[ Bev Littlewood & Lorenzo Strigini ]

JOL Archives 1.0.1
@ JOL / JeuxOnLine