Mesaj Sayısı : 338 Yaş : 33 Nerden : İstanbul Kayıt tarihi : 03/08/08
Konu: Sertifika kayıt kontrol Ptsi Ağus. 04, 2008 8:37 pm
Güvenlik açığı, bir web sayfasının kullanıcının sistemindeki bir sertifikayı silebilmesine izin veriyor. Tüm Windows sürümleri web-tabanlı seritifika kayıtlara (enrollment) izin vermek için Certificate Enrollment Control adında bir ActiveX kontrolü içerir. Bu kontrol PKCS #10 uyumlu sertifika istekleri yaratmada ve sertifika alındığında kullanıcının sertifika deposuna kaydetmede kullanılır.
Bu kontroldaki güvenlik açığı, bir web sayfasının kullanıcının sistemindeki bir sertifikayı silebilmesine izin veriyor. Bu açıktan başarılı olarak yararlanan bir saldırgan güvenilen root sertifikalarını, EFS kriptolama sertifikalarını, eposta imzalama sertifikalarını ve sistemdeki diğer sertifikaları bozabiliyor ve böylece kullanıcıların bu özelliklere erişimini engelleyebiliyor.
Saldırı iki şekilde gerçekleştirilebiliyor. Saldırgan bu açıktan yararlanan bir web sayfası yaratıp bir web sitesinde barındırarak siteyi ziyaret edenlere karşı kullanabilir yada saldırgan alıcıya saldırmak için sayfayı bir HTML mesaj olarak eposta ile gönderebilir.
Etkilenenler: Microsoft Windows 98 Microsoft Windows 98 Second Edition Microsoft Windows Millennium Microsoft Windows NT 4.0 Microsoft Windows 2000 Microsoft Windows XP
Perş. Ağus. 21, 2008 5:03 pm tarafından fearless42
Takvim
