Browser
makers update their DigiNotar disaster updates
7 September 2011, 11:28
Bài được đưa lên
Internet ngày: 07/09/2011
Lời
người dịch: Vụ cơ quan chứng thực DigiNotar bị tấn
công để lại một hậu quả nghiêm trọng trên phạm vi
toàn cầu. Hiện các nhà sản xuất các trình duyệt web
đang hối hả loại bỏ chứng thực không tin cậy cho tất
cả các sản phẩm có liên quan của họ, như Microsoft với
các hệ điều hành Windows. Những người sử dụng các
thiết bị di động là được phục vụ kém nhất, vì họ
sẽ phải chờ đợi từng nhà sản xuất, từng nhà cung
cấp đưa ra các chứng thực tin cậy cho họ, mà hiện vẫn
còn đang im lìm. Chứng thực số dựa vào các cơ quan
chứng thực CA để phát hành ra các chứng thực số dựa
vào nền tảng khóa công khai PKI (Public Key Infrastructure)
dựa vào SSL (Secure Socket Layer) để đảm bảo các thông
tin không bị “chộp” giữa chừng trên đường truyền
từ máy chủ có chứa website và máy trạm có chứa trình
duyệt web của người sử dụng, để những người sử
dụng tin cậy vào các website mà mình viếng thăm, được
tích hợp trong các trình duyệt và được chứng thực
chéo giữa các CA với nhau. Nay một khi các CA bị tấn
công và các chứng thực số không còn tin cậy nữa, thì
hậu quả là rất lớn. Nhiều chuyên gia an ninh cho rằng
vụ này có thiệt hại lớn hơn cả vụ Stuxnet đánh vào
tham vọng hạt nhân của Iran. Xem thêm: [01],
[02].
Khi nhiều chi tiết
hơn về thiệt hại từ sự tổn thương của cơ quan chứng
thực số (CA) DigiNotar được phơi bày, thì các nhà sản
xuất trình duyệt bây giờ đang đưa ra các cập nhật lần
thứ 2 cho các sản phẩm của họ để loại bỏ các chứng
thực không còn tin cậy được nữa. Những người sử
dụng thiết bị di động và những người sử dụng Mac
OS X sẽ được phục vụ ít nhất.
Microsoft đã cập
nhật tư vấn an ninh 2607712 và đã công bố rằng hãng
đã bổ sung các chứng thực gốc cho CA Gốc DigiNotar và
DigiNotar PKIoverheid vào Kho Chứng thực Không tin cậy của
hãng. Bản cập nhật này sẽ xuất hiện một cách tự
động trong hầu hết các hệ thống Windows nhưng Microsoft
cũng đã tiến hành các liên
kết tải về ngay lập tức cho cập nhật có sẵn cho
tất cả các hệ thống Windows từ XP tới 7 và 2008. Sự
tự động cập nhật không được thực hiện tại Hà Lan
vào lúc này theo yêu cầu của chính phủ Hà Lan.
Mozilla cũng đã tung
ra các cập nhật cho trình duyệt Firefox, 6.0.2 và 3.6.22, và
trình thư điện tử máy trạm Thunderbird, các phiên bản
6.0.2, 7.0 beta và 3.1.14; những cập nhật mới này loại bỏ
tất cả sự tin cậy khỏi CA DigiNotar. Những người sử
dụng Firefox 3.6 và Thunderbird 3.1 được khuyến khích chọn
“Kiểm tra để Cập nhật” (Check for Updates) từ thực
đơn Trợ giúp (Help) để có được bản cập nhật; những
người sử dụng khác nên xem cập nhật tới một cách tự
động trong vòng 24 giờ đồng hồ.
Những người sử
dụng di động và những người sử dụng Mac ít được
phục vụ tốt nhất. Đã không có những thông tin cập
nhật cho iOS của Apple và Android của Google, nghĩa là các
thiết bị di động chạy các hệ điều hành này sẽ vẫn
bị tổn thương đối với các cuộc tấn công chặn giữa
đường có sử dụng các chứng thực rởm. Khi Apple sẽ
tung ra một cập nhật, thì nó sẽ có sẵn một cách rộng
rãi. Những người sử dụng Android sẽ phải chờ mỗi
nhà cung cấp thiết bị đưa ra các cập nhạt cho điện
thoại của chính họ, hoặc loại bỏ một ROM tùy biến
như CyanogenMod: một sửa lỗi trong qui trình đang được
triển khai cho ROM của các bên thứ 3 phổ biến. Những
người sử dụng Mac OS X cũng đang chờ một cập nhật an
ninh; bất chấp những chỉ dẫn về cách để loại bỏ
sự tin cậy vào các chứng thực của DigiNotar trong các
máy Mac là sẵn có, mà Apple có cho tới lúc này, vẫn thấy
im lặng về việc đưa ra một cập nhật được tự động
hóa.
As
more details of the damage from the DigiNotar CA compromise are
revealed, browser makers are now releasing second updates to their
products to remove more untrustworthy certificates. Mobile device
users and Mac OS X users are less well served.
Microsoft
has updated security
advisory 2607712 and announced that it has added the root
certificates for DigiNotar Root CA and the DigiNotar PKIoverheid to
its Untrusted Certificate Store. The update should appear
automatically on most Windows systems but Microsoft has also made
immediate
download links for the update available for all Windows systems
from Windows XP to Windows 7 and Windows 2008. The automatic update
is not being performed in the Netherlands at this time at the request
of the Dutch government.
Mozilla
has released updates
for Firefox browser, 6.0.2 and 3.6.22, and the Thunderbird email
client, 6.0.2,
7.0 beta and 3.1.14; these new updates remove all trust from the
DigiNotar CA. Firefox 3.6 and Thunderbird 3.1 users are encouraged to
select "Check for Updates" from the Help menu to get the
update; other users should see the update arrive automatically in the
next 24 hours.
Mobile
users and Mac users are less well served. There has been no news of
updates for Apple's iOS or Google's Android, meaning the mobile
devices that run those operating systems are still vulnerable to
man-in-the-middle attacks using the bogus certificates. When Apple do
move to release an update though, it should be widely available.
Android users will have to wait for each device vendor to release
updates for their phones, or move to a custom ROM such as
CyanogenMod; a fix is in
the process of being implemented for the popular third party ROM.
Mac OS X users are also waiting for a security update; despite
instructions
on how to distrust DigiNotar certificates on the Mac being available,
Apple have, so far, remained silent about releasing an automated
update.
(djwm)
Dịch tài liệu: Lê
Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.