Microsoft выпустила 12 патчей и случайно допустила утечку сертификата Xbox Live

Декабрьский «Вторник патчей» (Patch Tuesday) принес 12 бюллетеней безопасности, исправления для 71 уязвимости, а также сообщение о том, что пользователи Xbox Live оказались под угрозой. Microsoft сообщила, что произошла утечка сертификата SSL/TLS для *.xboxlive.com и приватных ключей для него. Это означает, что пользователи сервиса стали потенциальными жертвами man-in-the-middle атак.

Ежемесячная пачка обновлений от Microsoft на этот раз содержит исправление, которое очень нелестно характеризует самих сотрудников компании. Бюллетень безопасности гласит, что Microsoft случайно допустила утечку цифрового сертификата SSL/TLS для Xbox Live, а также приватных ключей для него. Сколько людей могут пострадать из-за халатности Microsoft, не сообщается, но Xbox Live насчитывает около 40 млн активных пользователей. Как именно произошла утечка, не уточняется, вероятнее всего, компания случайно поделилась сертификатом с партнером.

Небезопасный сертификат был официально отозван Microsoft, однако мошенники все равно могут использовать его для проведения man-in-the-middle атак на необновившихся пользователей. Пока же компания сообщает, что атак с применением сертификата зафиксировано не было.

Для пользователей Windows 8 и более поздних версий ОС обновление произойдет автоматически. Пользователи Vista, Windows 7, Windows Server 2008 или Windows Server 2008 R2 тоже получат обновление, если у них активировано обновление центра сертификатов. Если пользователь по каким-то причинам отключил автоматически апдейтеры, Microsoft советует ему воспользоваться Certificates MMC snap-in и добавить утекший сертификат в список недоверенных.

Источник: xakep.ru

Категория: Интернет
Вы можете следить за комментариями с помощью RSS 2.0-ленты. В можете оставить комментарий, или Трекбэк с вашего сайта.
Оставить комментарий

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>