Các nhà sản xuất trình duyệt cập nhật thảm họa DigiNotar của họ

Browser makers update their DigiNotar disaster updates

7 September 2011, 11:28

Theo: http://www.h-online.com/security/news/item/Browser-makers-update-their-DigiNotar-disaster-updates-1338144.html

Bài được đưa lên Internet ngày: 07/09/2011

Lời người dịch: Vụ cơ quan chứng thực DigiNotar bị tấn công để lại một hậu quả nghiêm trọng trên phạm vi toàn cầu. Hiện các nhà sản xuất các trình duyệt web đang hối hả loại bỏ chứng thực không tin cậy cho tất cả các sản phẩm có liên quan của họ, như Microsoft với các hệ điều hành Windows. Những người sử dụng các thiết bị di động là được phục vụ kém nhất, vì họ sẽ phải chờ đợi từng nhà sản xuất, từng nhà cung cấp đưa ra các chứng thực tin cậy cho họ, mà hiện vẫn còn đang im lìm. Chứng thực số dựa vào các cơ quan chứng thực CA để phát hành ra các chứng thực số dựa vào nền tảng khóa công khai PKI (Public Key Infrastructure) dựa vào SSL (Secure Socket Layer) để đảm bảo các thông tin không bị “chộp” giữa chừng trên đường truyền từ máy chủ có chứa website và máy trạm có chứa trình duyệt web của người sử dụng, để những người sử dụng tin cậy vào các website mà mình viếng thăm, được tích hợp trong các trình duyệt và được chứng thực chéo giữa các CA với nhau. Nay một khi các CA bị tấn công và các chứng thực số không còn tin cậy nữa, thì hậu quả là rất lớn. Nhiều chuyên gia an ninh cho rằng vụ này có thiệt hại lớn hơn cả vụ Stuxnet đánh vào tham vọng hạt nhân của Iran. Xem thêm: [01], [02].

Khi nhiều chi tiết hơn về thiệt hại từ sự tổn thương của cơ quan chứng thực số (CA) DigiNotar được phơi bày, thì các nhà sản xuất trình duyệt bây giờ đang đưa ra các cập nhật lần thứ 2 cho các sản phẩm của họ để loại bỏ các chứng thực không còn tin cậy được nữa. Những người sử dụng thiết bị di động và những người sử dụng Mac OS X sẽ được phục vụ ít nhất.

Microsoft đã cập nhật tư vấn an ninh 2607712 và đã công bố rằng hãng đã bổ sung các chứng thực gốc cho CA Gốc DigiNotar và DigiNotar PKIoverheid vào Kho Chứng thực Không tin cậy của hãng. Bản cập nhật này sẽ xuất hiện một cách tự động trong hầu hết các hệ thống Windows nhưng Microsoft cũng đã tiến hành các liên kết tải về ngay lập tức cho cập nhật có sẵn cho tất cả các hệ thống Windows từ XP tới 7 và 2008. Sự tự động cập nhật không được thực hiện tại Hà Lan vào lúc này theo yêu cầu của chính phủ Hà Lan.

Mozilla cũng đã tung ra các cập nhật cho trình duyệt Firefox, 6.0.2 và 3.6.22, và trình thư điện tử máy trạm Thunderbird, các phiên bản 6.0.2, 7.0 beta và 3.1.14; những cập nhật mới này loại bỏ tất cả sự tin cậy khỏi CA DigiNotar. Những người sử dụng Firefox 3.6 và Thunderbird 3.1 được khuyến khích chọn “Kiểm tra để Cập nhật” (Check for Updates) từ thực đơn Trợ giúp (Help) để có được bản cập nhật; những người sử dụng khác nên xem cập nhật tới một cách tự động trong vòng 24 giờ đồng hồ.

Những người sử dụng di động và những người sử dụng Mac ít được phục vụ tốt nhất. Đã không có những thông tin cập nhật cho iOS của Apple và Android của Google, nghĩa là các thiết bị di động chạy các hệ điều hành này sẽ vẫn bị tổn thương đối với các cuộc tấn công chặn giữa đường có sử dụng các chứng thực rởm. Khi Apple sẽ tung ra một cập nhật, thì nó sẽ có sẵn một cách rộng rãi. Những người sử dụng Android sẽ phải chờ mỗi nhà cung cấp thiết bị đưa ra các cập nhạt cho điện thoại của chính họ, hoặc loại bỏ một ROM tùy biến như CyanogenMod: một sửa lỗi trong qui trình đang được triển khai cho ROM của các bên thứ 3 phổ biến. Những người sử dụng Mac OS X cũng đang chờ một cập nhật an ninh; bất chấp những chỉ dẫn về cách để loại bỏ sự tin cậy vào các chứng thực của DigiNotar trong các máy Mac là sẵn có, mà Apple có cho tới lúc này, vẫn thấy im lặng về việc đưa ra một cập nhật được tự động hóa.

As more details of the damage from the DigiNotar CA compromise are revealed, browser makers are now releasing second updates to their products to remove more untrustworthy certificates. Mobile device users and Mac OS X users are less well served.

Microsoft has updated security advisory 2607712 and announced that it has added the root certificates for DigiNotar Root CA and the DigiNotar PKIoverheid to its Untrusted Certificate Store. The update should appear automatically on most Windows systems but Microsoft has also made immediate download links for the update available for all Windows systems from Windows XP to Windows 7 and Windows 2008. The automatic update is not being performed in the Netherlands at this time at the request of the Dutch government.

Mozilla has released updates for Firefox browser, 6.0.2 and 3.6.22, and the Thunderbird email client, 6.0.2, 7.0 beta and 3.1.14; these new updates remove all trust from the DigiNotar CA. Firefox 3.6 and Thunderbird 3.1 users are encouraged to select "Check for Updates" from the Help menu to get the update; other users should see the update arrive automatically in the next 24 hours.

Mobile users and Mac users are less well served. There has been no news of updates for Apple's iOS or Google's Android, meaning the mobile devices that run those operating systems are still vulnerable to man-in-the-middle attacks using the bogus certificates. When Apple do move to release an update though, it should be widely available. Android users will have to wait for each device vendor to release updates for their phones, or move to a custom ROM such as CyanogenMod; a fix is in the process of being implemented for the popular third party ROM. Mac OS X users are also waiting for a security update; despite instructions on how to distrust DigiNotar certificates on the Mac being available, Apple have, so far, remained silent about releasing an automated update.

(djwm)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com