Microsoft hat die Sicherheitsempfehlung 2641690 veröffentlicht. Aus ihr geht hervor, dass alle Windows-Versionen ab sofort den von der Zertifizierungsstelle (CA, Certification Authority) DigiCert Sdn. Bhd (Malaysia) ausgegebenen Zertifikaten nicht mehr vertrauen. Microsoft wurde von Entrust darauf aufmerksam gemacht, dass DigiCert Sdn. Bhd., eine Entrust untergeordnete CA, 22 Zertifikate mit schwachen 512 Bit Schlüsseln ausgestellt hat.

Dies ist ein Verstoß gegen das Root Certificate Program von Microsoft und führt zum Zurückweisen der betroffenen Zertifikate. Die entsprechenden CAs (Digisign Server ID, ausgestellt von Entrust.net und Digisign Server ID, ausgestellt von GTE Cyber Trust Global Root) werden durch das Update in den Microsoft Untrusted Certificate Store verschoben.

Die malaysische CA ist nicht zu verwechseln mit DigiCert Inc. und steht auch in keiner Beziehung zu dem Unternehmen, das nach wie vor Mitglied des Microsoft Root Certificate Program ist.

Bisher deutet nichts daraufhin, dass die fraglichen Zertifikate durch Betrüger ausgestellt wurden. Vielmehr erlaubten die schwachen Schlüssel, dass einige der Zertifikate kopiert und betrügerisch eingesetzt wurden.

Windows-Anwender, die Windows Update aktiviert haben, müssen keine weiteren Schritte unternehmen. Das update wird automatisch heruntergeladen und installiert.