ALERTA DE SEGURIDAD ENVIADA POR MICROSOFT

Aviso de seguridad de Microsoft (2916652)

Certificados digitales expedidas indebidamente podrían permitir la suplantación de identidad

Publicado: Lunes, 09 de diciembre 2013

Versión: 1.0

Información General

Resumen Ejecutivo

Microsoft es consciente de un certificado CA subordinada emitida incorrectamente que podría ser utilizado en los intentos de suplantar contenido, realizar ataques de phishing, o llevar a cabo ataques man-in-the-middle. El certificado CA subordinada se emitió de forma incorrecta por la Dirección General del Tesoro (DG Trésor), subordinado al Gobierno de Francia CA (Anssi), que es una CA presente en la certificación raíz de confianza tienda. Este problema afecta a todas las versiones compatibles de Microsoft Windows. Microsoft no tiene constancia de ataques relacionados con este tema.

El certificado CA subordinada emitida indebidamente ha sido mal utilizada para emitir certificados SSL para múltiples sitios, incluyendo las propiedades web de Google.Estos certificados SSL podrían utilizarse para suplantar contenido, realizar ataques de phishing, o llevar a cabo ataques man-in-the-middle contra varias propiedades web de Google. El certificado CA subordinada también pudo haber sido utilizada para emitir certificados para otros sitios, actualmente desconocidos, que podrían ser objeto de ataques similares.

Para ayudar a proteger a los clientes de uso potencialmente fraudulento de este certificado digital, Microsoft está actualizando la lista de certificados de confianza (CTL) para todas las versiones compatibles de Microsoft Windows para quitar la confianza de los certificados que están causando este problema. Para obtener más información acerca de estos certificados, consulte la Preguntas más frecuentes sección de este documento informativo.

Recomendación.  Un actualizador automático de certificados revocados se incluye en las ediciones compatibles de Windows 8, Windows 8.1, Windows RT, RT de Windows 8.1, Windows Server 2012 y Windows Server 2012 R2, y para dispositivos con Windows Phone 8. Para estos sistemas operativos y dispositivos, los clientes no tienen que realizar ninguna acción ya que estos sistemas y dispositivos estarán protegidos automáticamente.

Para los sistemas que ejecutan Windows Vista, Windows 7, Windows Server 2008 o Windows Server 2008 R2 que están utilizando el programa de actualización automática de certificados revocados (ver el artículo de Microsoft Knowledge Base 2677070 para más detalles), los clientes no tienen que realizar ninguna acción ya que estos sistemas se ser protegidos de forma automática.

En este momento, no hay actualizaciones disponibles para los clientes que ejecutan Windows XP o Windows Server 2003, o para los clientes que optan por no instalar el programa de actualización automática de certificados revocados.

Para obtener más información, consulte la acciones sugerido sección de este documento informativo.

Principio de sección
Detalles de asesoramiento

Software afectado

Este documento informativo trata sobre el software siguiente.

Software afectado
Sistema Operativo
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP2 para sistemas con Itanium
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 para sistemas de 32 bits Service Pack 2
Windows Server 2008 para sistemas x64 Service Pack 2
Windows Server 2008 para sistemas con Itanium Service Pack 2
Windows 7 para sistemas de 32 bits Service Pack 1
Windows 7 para sistemas x64 Service Pack 1
Windows Server 2008 R2 para sistemas x64 Service Pack 1
Windows Server 2008 R2 para sistemas con Itanium Service Pack 1
Windows 8 para sistemas de 32 bits
Windows 8 para sistemas basados ​​en x64
De Windows 8.1 para sistemas de 32 bits
De Windows 8.1 para sistemas basados ​​en x64
Windows RT
RT de Windows 8.1
Windows Server 2012
Windows Server 2012 R2
Opción de instalación Server Core
Windows Server 2008 para sistemas de 32 bits Service Pack 2 (instalación de Server Core)
Windows Server 2008 para sistemas x64 Service Pack 2 (instalación de Server Core)
Windows Server 2008 R2 para sistemas basados ​​en x64 (instalación de Server Core)
Windows Server 2012 (instalación de Server Core)
Windows Server 2012 R2 (instalación de Server Core)
Dispositivos afectados
Windows Phone 8
Principio de sección
FAQ Asesor

Acciones sugeridas

Otra Información

Agradecimientos

Microsoft agradece el que han trabajado con nosotros para proteger a los clientes:

Adam Langley y el equipo de Google Chrome de Seguridad para llevar el incidente a nuestra atención y trabajar con nosotros en la respuesta
Principio de sección
Microsoft Active Protections Program (MAPP)

Para mejorar las protecciones de seguridad de los clientes, Microsoft proporciona información de vulnerabilidades a los principales proveedores de software de seguridad antes de cada publicación mensual de las actualizaciones de seguridad. Los proveedores de software de seguridad pueden usar esta información para proporcionar protecciones actualizadas a los clientes mediante su software o dispositivos de seguridad, como antivirus, sistemas de detección de intrusiones basados ​​en red o sistemas de prevención de intrusiones de host. Para determinar si hay disponibles protecciones activas de los proveedores de software de seguridad, visite los sitios web de protecciones activas que proporcionan los asociados, enumeradas en Microsoft Active Protections Program (MAPP) .

Principio de sección
Feedback

Puede proporcionar comentarios si rellena el formulario en Ayuda de Microsoft y Soporte, Servicio al Cliente Contáctanos .
Principio de sección
Apoyo

Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico del soporte de seguridad . Para obtener más información, consulte Microsoft Ayuda y soporte técnico .
Los clientes internacionales pueden recibir el apoyo de sus subsidiarias de Microsoft. Para obtener más información, consulte el Apoyo Internacional .
Microsoft TechNet Security proporciona información adicional acerca de la seguridad en los productos de Microsoft.
Principio de sección
Renuncia

La información proporcionada en este documento informativo se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia a toda garantía, expresa o implícita, incluyendo las garantías de comerciabilidad y adecuación para un propósito en particular. En ningún caso Microsoft Corporation o sus proveedores serán responsables de daños de ningún tipo, incluyendo la pérdida directa, indirecta, incidental, consecuente, de beneficios o daños especiales, aun cuando Microsoft Corporation ni sus proveedores hayan sido advertidos de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que no puede aplicarse la limitación anterior.