Microsoft łata interfejs kryptograficzny w Windows
- Józef Muszyński,
- 17.09.2002, godz. 11:29
Microsoft udostępnił łatki uszczelniające luki w oprogramowaniu kryptograficznym, pozwalające hakerowi na używanie fałszywych certyfikatów cyfrowych w celu uprowadzenia zabezpieczonej komunikacji i sfałszowania podpisu elektronicznego.
Luka, wykryta na początku sierpnia br. przez niezależnego badacza, dotyczy API kryptograficznego Windows (CryptoAPI), zapewniającego strukturę systemową używaną przez programy do uzyskiwania usług kryptograficznych. CryptoAPI zapewnia obsługę: szyfrowania deszyfrowania, podpisu cyfrowego i inne zadania.
Łatka dotyczy różnych wersji systemu operacyjnego Windows i trzech programów dla Macintosch: Office, Internet Explorer i Outlook Express. Systemy operacyjne to: Windows 98/ 98SE/ ME/ NT 4.0/ NT 4.0 Terminal Server Edition/ 2000 i XP.
Zobacz również:
- Dlaczego warto aktualizować jądro systemu operacyjnego Linux?
- Poprawki błędów od Apple - iOS/iPadOS i visionOS zaktualizowane
Ponieważ kod wykorzystujący tę lukę został już opublikowany, Microsoft zdecydował się na wypuszczanie łatek do poszczególnych wersji w miarę, jak są opracowywane. Łatki mają status krytycznych.
Problem polega na tym, że CryptoAPI nie sprawdza w certyfikatach cyfrowych parametru o nazwie "Basic Constraints", który jest używany do sprawdzania ważności łańcucha certyfikatów cyfrowych w hierarchicznej strukturze certyfikacji, a to daje możliwość fałszowania certyfikatów.
CryptoAPI używane jest przez wielu niezależnych dostawców aplikacji do zapewnienia usług ochrony w swoich programach, w tym również podpisów cyfrowych.