[新聞] 微軟撤銷D-Link外洩的4個數位憑證

資料來源
http://www.ithome.com.tw/news/99001

微軟於周四（9/24）發出安全通告指出，D-Link不小心外洩了4個數位憑證，因擔心相關憑證被應用在詐騙上，於是把這4個憑證自Windows平台上的憑證信任列表（Certificate Trust List ，CTL）中移除了，同時呼籲Windows用戶進行更新。

荷蘭科技網站Tweakers在上周接獲讀者爆料，說他購買了型號為DCS-5020L的D-Link監視器，然後自D-Link網站下載的韌體中含有D-Link、Starfield Technologies、KEEBOX與Alpha Networks等4家業者的私密金鑰以及相關密碼，雖然發現時所有的憑證都已過期或已被撤銷，但其中D-Link憑證的有效期限為今年2月27日到9月3日，顯示憑證可能早就遭到濫用。

這些憑證是用來驗證軟體發行商的身份之用，一旦外流，惡意程式作者就可能濫用這些憑證，偽造惡意程式的身份，而通過作業系統的審核。

Tweakers將取得的資料交由當地資安業者Fox-IT分析，確認了這些憑證為真。Fox-IT認為，把憑證放在公開的程式當中應該是不經意的疏失，而且相關憑證只出現在某個特定版本的韌體中。

即使相關憑證皆已過期，但微軟仍然採取措施，修改Windows作業系統中的憑證信任列表，將上述4個憑證全數移除，微軟呼籲所有版本的Windows用戶都應進行更新。（編譯/陳曉莉）

幸好近幾年沒買過D-Link設備
有在用的請小心

1 評分人數