Microsoft schließt Microsoft-authorisiertes Zertifikat aus
Bitte nehmt das heutige Update für Zertifikatssperren ernst!
Anscheinend war es für jemanden möglich, ein Zertifikat zu erstellen, das eine Vertrauenskette bis hoch zu den Zertifikatsservern von Microsoft aufweist. Dieses könnte unter anderem für schädliche gefälschte Microsoft-Updates missbraucht werden. Das Update-System prüft ja bei signierten Updates sowohl, ob die Signatur vertrauenswürdig ist, als auch, ob sie von Microsoft als vertrauenswürdig bestätigt ist. Dieser zweite Teil für sich ist nun nicht mehr sicher...
MS-TechNet-Artikel | Deutsche Zusammenfassung bei Fefe
__
Update:
Der Hack basierte wohl auf der MD5-Hash-Kollission des Angreifer-Zertifikats mit dem der Microsoft-Hydra-Erweiterung des Original-Zertifikats.