Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 25/9/2015
D-Link har ved en fejl gjort fire digitale certifikater tilgængelige på nettet. Microsoft har nu spærret for dem, så programmer signeret med certifikaterne ikke vil blive godkendt.Certifikaterne kan udelukkende bruges til at signere programkode med. De lå i en samling software til et kamera, som brugere frit kunne downloade. De var tilgængelige fra slutningen af februar.
Certifikaterne udløb den 3. september. I den mellemliggende periode er der risiko for, at kriminelle har signeret skadelige programmer med dem for at få dem til at virke mere troværdige.
Microsoft har ændret firmaets Certificate Trust List, så de kompromitterede certifikater er fjernet.
Certifikaterne var foruden D-Link udstedt til Alpha Networks, Keebox og TRENDnet.
Anbefaling
Brugere af Windows Vista, Windows 7 og Windows Server 2008 bør installere en rettelse, der automatisk henter opdateringer til Certificate Trust List.
Links
- Microsoft Security Advisory 3097966: Inadvertently Disclosed Digital Certificates Could Allow Spoofing
- D-Link spilled its private key onto the web letting malware dress up as Windows apps, artikel fra The Register
- Microsoft Revokes Trust for Certificates Leaked by D-Link, artikel fra Kaspersky Threatpost