Microsoft Security Advisory 2524375 sui Certificati Digitali fraudolenti di Comodo

re: Microsoft Security Advisory 2524375 sui Certificati Digitali fraudolenti di Comodo

poohlover63 — Mon, 28 Mar 2011 12:30:15 GMT

Come sai, appassionato di computers, tanto da essere diventato punto di riferimento, pur non essendo un tecnico, dei miei amici che hanno prolemi con le loro macchine, e sensibile in primis ai problemi di sicurezza, apprezzo molto la tempestività con cui, e ultimamente anche in tempi molto rapidi, Microsoft è impegnata a risolvere le relative vulnerabilità.

Vorrei però sapere, notandolo sulle mie macchine, se è possibile che l'aggiornamento di cui sopra, come penso di aver intuito, possa causare un rallentamento delle prestazioni di velocità dei browser, che in particolare noto molto su Internet Explorer 9.

Presumendo infatti, ma attendo da Te conferma, che nella patch sia incluso un tool che effettui la scansione dei siti visitati, ad evitare fraudolenti reindirizzamenti, penso che tutto ciò sia dovuto alla necessità di farne una preventiva scansione.

Preciso poi che uso, come antivirus residente, Norton 360 5.0, che ha anch'esso una funzionalità di sito ok o fallocco (Norton Toolbar) che, mi auguro non contrasti con il KB 2524375 , di cui stiamo parlando.

Spero tu voglia dare riscontro al mio post e, nel frattempo saluto te, ed il tuo stimatissimo staff.

re: Microsoft Security Advisory 2524375 sui Certificati Digitali fraudolenti di Comodo

Raffaele Rialdi — Mon, 28 Mar 2011 09:15:51 GMT

Sinceramente non mi stupisce dopo la scarsa attenzione già dimostrata da diverse CA sull'argomento sicurezza. Ne avevo parlato qui:

blogs.ugidotnet.org/.../certificati-root-e-verisign.-giocare-con-il-fuoco-egrave-nulla.aspx

e qui:

blogs.ugidotnet.org/.../certificati-root-il-problema-egrave-su-vasta-scala.aspx

Comodo permette a tutt'oggi di scaricare le root via http:

www.instantssl.com/.../rootcerts.html

Il che significa che con un semplice attacco di man in the middle è possibile intercettare il download e far installare una CA farlocca al posto di quella vera. Se questo attacco riesce (e non è complesso) qualsiasi certificato emesso dall'hacker che fa l'attacco viene considerato valido e non c'è CRL che tenga.

L'unico rimedio è la consapevolezza di chi *usa* il web.

re: Microsoft Security Advisory 2524375 sui Certificati Digitali fraudolenti di Comodo

Feliciano Intini — Thu, 24 Mar 2011 09:05:50 GMT

Grazie Andrea per aver rammentato un consiglio di validità universale, che sto cercando di diffondere da sempre, vedi il mio 3° post del gennaio 2007: blogs.technet.com/.../il-dilemma-delle-patch-di-sicurezza_2e00__2e00__2e00_.aspx

Ciao Pupo, mi sento di poter dire che lo scenario CyberWar non è tanto sempre più reale, quanto sempre più evidente al grande pubblico, mentre fino ad ora era sommerso e underground... magari questo aiuterà a prendere coscienza dell'urgenza di un piano strutturato nazionale in tema CyberSecurity e Protezione delle Infrastrutture Critiche...

re: Microsoft Security Advisory 2524375 sui Certificati Digitali fraudolenti di Comodo

Pupo — Thu, 24 Mar 2011 08:51:57 GMT

Se sommiamo questo all'attacco ad RSA di questi giorni, lo scenario CYBERWAR è sempre più reale ed inquietante, che ne pensi Feliciano?

re: Microsoft Security Advisory 2524375 sui Certificati Digitali fraudolenti di Comodo

Andrea — Thu, 24 Mar 2011 02:50:15 GMT

Aggiorna sempre gli update importanti.

re: Microsoft Security Advisory 2524375 sui Certificati Digitali fraudolenti di Comodo

e quindi? — Wed, 23 Mar 2011 21:03:11 GMT

e quindi? e' opportuno installare questo aggiornamento ho possiamo anche tralasciarlo?