• Revogações são Insuficientes para Certificados Comprometidos

    A revogação de um certificado digital, não invalida automaticamente, por exemplo, assinaturas de software que foram feitas com este certificado. O que importa é a data de revogação, que determina o ponto no tempo após o qual uma assinatura não será mais validada. De acordo com um relatório da especialista em anti-vírus Norman, as assinaturas de vários trojans descobertas recentemente, foram validadas pelo Windows, e como resultado, nenhum aviso foi emitido antes de instalar o malware.

    Os trojans foram assinados com uma chave que tinha sido roubada de uma empresa japonesa. O certificado correspondente foi relatado como comprometido em 29 de Julho de 2011 e revogado pelo Certificate Authority (CA), a VeriSign, que é agora parte integrante da Symantec. No entanto, essa data também foi inserida como a data de revogação.


    Saiba Mais:


    [1] Malware Detection Team http://blogs.norman.com/2011/malware...ning-conundrum

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L