Các nhà sản xuất trình duyệt cập nhật thảm họa DigiNotar của họ

Browsermakers up-date their DigiNotar disaster up-dates

7 September 2011, 11:28

Theo:http://www.h-online.com/security/news/item/Browser-makers-up-date-their-DigiNotar-disaster-up-dates-1338144.html

Bài được đưa lênInternet ngày: 07/09/2011

Lờingười dịch: Vụ cơ quan chứng thực DigiNotar bị tấncông để lại một hậu quả nghiêm trọng trên phạm vitoàn cầu. Hiện các nhà sản xuất các trình duyệt webđang hối hả loại bỏ chứng thực không tin cậy cho tấtcả các sản phẩm có liên quan của họ, như Microsoft vớicác hệ điều hành Windows. Những người sử dụng cácthiết bị di động là được phục vụ kém nhất, vì họsẽ phải chờ đợi từng nhà sản xuất, từng nhà cungcấp đưa ra các chứng thực tin cậy cho họ, mà hiện vẫncòn đang im lìm. Chứng thực số dựa vào các cơ quanchứng thực CA để phát hành ra các chứng thực số dựavào nền tảng khóa công khai PKI (Public Key Infrastructure)dựa vào SSL (Secure Socket Layer) để đảm bảo các thôngtin không bị “chộp” giữa chừng trên đường truyềntừ máy chủ có chứa website và máy trạm có chứa trìnhduyệt web của người sử dụng, để những người sửdụng tin cậy vào các website mà mình viếng thăm, đượctích hợp trong các trình duyệt và được chứng thựcchéo giữa các CA với nhau. Nay một khi các CA bị tấncông và các chứng thực số không còn tin cậy nữa, thìhậu quả là rất lớn. Nhiều chuyên gia an ninh cho rằngvụ này có thiệt hại lớn hơn cả vụ Stuxnet đánh vàotham vọng hạt nhân của Iran. Xem thêm: [01],[02].

Khi nhiều chi tiếthơn về thiệt hại từ sự tổn thương của cơ quan chứngthực số (CA) DigiNotar được phơi bày, thì các nhà sảnxuất trình duyệt bây giờ đang đưa ra các cập nhật lầnthứ 2 cho các sản phẩm của họ để loại bỏ các chứngthực không còn tin cậy được nữa. Những người sửdụng thiết bị di động và những người sử dụng MacOS X sẽ được phục vụ ít nhất.

Microsoft đã cậpnhật tư vấn an ninh 2607712 và đã công bố rằng hãngđã bổ sung các chứng thực gốc cho CA Gốc DigiNotar vàDigiNotar PKIoverheid vào Kho Chứng thực Không tin cậy củahãng. Bản cập nhật này sẽ xuất hiện một cách tựđộng trong hầu hết các hệ thống Windows nhưng Microsoftcũng đã tiến hành các liênkết tải về ngay lập tức cho cập nhật có sẵn chotất cả các hệ thống Windows từ XP tới 7 và 2008. Sựtự động cập nhật không được thực hiện tại Hà Lanvào lúc này theo yêu cầu của chính phủ Hà Lan.

Mozilla cũng đã tungra các cập nhật cho trình duyệt Firefox, 6.0.2 và 3.6.22, vàtrình thư điện tử máy trạm Thunderbird, các phiên bản6.0.2, 7.0 beta và 3.1.14; những cập nhật mới này loại bỏtất cả sự tin cậy khỏi CA DigiNotar. Những người sửdụng Firefox 3.6 và Thunderbird 3.1 được khuyến khích chọn“Kiểm tra để Cập nhật” (Check for Up-dates) từ thựcđơn Trợ giúp (Help) để có được bản cập nhật; nhữngngười sử dụng khác nên xem cập nhật tới một cách tựđộng trong vòng 24 giờ đồng hồ.

Những người sửdụng di động và những người sử dụng Mac ít đượcphục vụ tốt nhất. Đã không có những thông tin cậpnhật cho iOS của Apple và Android của Google, nghĩa là cácthiết bị di động chạy các hệ điều hành này sẽ vẫnbị tổn thương đối với các cuộc tấn công chặn giữađường có sử dụng các chứng thực rởm. Khi Apple sẽtung ra một cập nhật, thì nó sẽ có sẵn một cách rộngrãi. Những người sử dụng Android sẽ phải chờ mỗinhà cung cấp thiết bị đưa ra các cập nhạt cho điệnthoại của chính họ, hoặc loại bỏ một ROM tùy biếnnhư CyanogenMod: một sửa lỗi trong qui trình đang đượctriển khai cho ROM của các bên thứ 3 phổ biến. Nhữngngười sử dụng Mac OS X cũng đang chờ một cập nhật anninh; bất chấp những chỉ dẫn về cách để loại bỏsự tin cậy vào các chứng thực của DigiNotar trong cácmáy Mac là sẵn có, mà Apple có cho tới lúc này, vẫn thấyim lặng về việc đưa ra một cập nhật được tự độnghóa.

Asmore details of the damage f-rom the DigiNotar CA compromise arerevealed, browser makers are now releasing second up-dates to theirproducts to remove more untrustworthy certificates. Mobile deviceusers and Mac OS X users are less well served.

Microsofthas up-dated securityadvisory 2607712 and announced that it has added the rootcertificates for DigiNotar Root CA and the DigiNotar PKIoverheid toits Untrusted Certificate Store. The up-date should appearautomatically on most Windows systems but Microsoft has also madeimmediatedownload links for the up-date available for all Windows systemsf-rom Windows XP to Windows 7 and Windows 2008. The automatic up-dateis not being performed in the Netherlands at this time at the requestof the Dutch government.

Mozillahas released up-datesfor Firefox browser, 6.0.2 and 3.6.22, and the Thunderbird emailclient, 6.0.2,7.0 beta and 3.1.14; these new up-dates remove all trust f-rom theDigiNotar CA. Firefox 3.6 and Thunderbird 3.1 users are encouraged tose-lect "Check for Up-dates" f-rom the Help menu to get theup-date; other users should see the up-date arrive automatically in thenext 24 hours.

Mobileusers and Mac users are less well served. There has been no news ofup-dates for Apple's iOS or Google's Android, meaning the mobiledevices that run those operating systems are still vulnerable toman-in-the-middle attacks using the bogus certificates. When Apple domove to release an up-date though, it should be widely available.Android users will have to wait for each device vendor to releaseup-dates for their phones, or move to a custom ROM such asCyanogenMod; a fix is inthe process of being implemented for the popular third party ROM.Mac OS X users are also waiting for a security up-date; despiteinstructionson how to distrust DigiNotar certificates on the Mac being available,Apple have, so far, remained silent about releasing an automatedup-date.

(djwm)

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com