Windows CryptoAPI, geliştiriciler tarafından kimlik doğrulama işlemleri kontrolünde dijital sertifika, şifreleme ve şifre çözme işlemleri ve Abstract Syntax Notation One (ASN.1) formatlı kod çözümlemeleri için kullanılmaktadır.
Kaynak: Sans@Risk
Seviye: Orta
Bildiri Sürümü: 1.0
Aç?klanma Zaman?: 23.10.2009
Etkilenen Sistemler: Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Service Pack 3
Microsoft Windows XP Professional x64 Edition Service Pack 2
Microsoft Windows Server 2003 Service Pack 2
Microsoft Windows Server 2003 x64 Edition Service Pack 2
Microsoft Windows Server 2003 SP2 (Itanium)
Microsoft Windows Vista
Microsoft Windows Vista x64 Edition
Microsoft Windows Server 2008 (32-bit)
Microsoft Windows Server 2008 (x64)
Microsoft Windows Server 2008 (Itanium)
Microsoft Windows Server 2008 R2 (x64)
Microsoft Windows Server 2008 R2 (Itanium)
Microsoft Windows 7 (32-bit)
Microsoft Windows 7 (x64)
Referanslar: Microsoft Security Bulletin MS09-056 - Important: Vulnerabilities in Windows CryptoAPI Could Allow Spoofing (974571)
Microsoft Corporation
Microsoft Internet Explorer NULL Byte CA SSL Certificate Validation Security Bypass Vulnerability
Internet Explorer X.509 Certificate Common Name Encoding Multiple Security Bypass Vulnerabilities
Açıklama: İlk sorun herhangi bir nesne tanımlayıcısının, Object Identifier (OID, sonuna eklenecek bir "null" sonlandırıcı nedeniyle kimlik yanıltılmasına izin vermesidir. Örneğin, Common Name (CN) alanı boş bir sertifika bu açıklığı tetikleyebilmektedir. Diğer bir açıklık Windows CryptoAPI içinde, ASN.1 nesne tanımlayıcılarının X.509 sertifikaları içerisinden okunması durumunda oluşmaktadır. Başarılı saldırı sorunucu saldırganın kimliğii yanıltılabilmektedir.
Etki: Sahtecilik
Çözüm: Firma tarafından gerekli yamalar yayınlanmıştır.