Przygotuj się: Microsoft podnosi poprzeczkę dla kluczy szyfrowania

Świetna wiadomość! Następny wtorek jest już we wtorek we wrześniu, ale Microsoft ma tylko kilka stosunkowo niewielkich aktualizacji. Nie bądź jednak zbyt wygodny - musisz przygotować się na zmiany, które Microsoft wprowadzi w przyszłym miesiącu w związku z kluczami kryptograficznymi.

Zacznijmy od Patch Tuesday. Wrzesień to dramatyczne odejście od poprzednich miesięcy. W przeciwieństwie do wielu miesięcy, które zostały załadowane wieloma aktualizacjami krytycznymi lub faktem, że przeglądarka Internet Explorer była aktualizowana co miesiąc przez kilka miesięcy, Microsoft ma w tym miesiącu dwa biuletyny bezpieczeństwa.

Microsoft wkrótce rozważy jakiekolwiek kryptograficzne Klucz mniejszy niż 1024 bity jest nieważny.

W ciągu ostatnich kilku miesięcy było dziewięć nowych biuletynów zabezpieczeń, a średnia z miesiąca na sierpień to 7,5. Dwa to łatwy do opanowania numer, który uszczęśliwi wielu administratorów IT. Zastanów się, że oba biuletyny bezpieczeństwa zostały ocenione jako ważne, i że mają wpływ na oprogramowanie lub platformy, których wiele firm nawet nie używa, a niektórzy administratorzy IT mogą zasadniczo uwolnić tę łatę od wtorkowej wersji.

[ Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Oczywiście wielu administratorów IT wciąż stara się nadrobić zaległości z poprzednich miesięcy i może wykorzystać przerwę, aby zakończyć wdrażanie poprawek, które już mają. Jest też łatka Javy od Oracle, która prawdopodobnie wymaga pilnej uwagi, jeśli jeszcze jej nie wdrożyłeś.

Paul Henry, analityk ds. Bezpieczeństwa i medycyny sądowej z Lumension, ma jedno z nich "Ale czekaj! To nie wszystko, ale także dzienniki, które rzucają na ogień. "Należy również zauważyć, że obecnie dziewięć produktów podatności na zera w produktach HP nie ma widocznych łat. Osiem z tych luk zostało przypisanych najwyższemu poziomowi ryzyka, które powinny być utrzymywane w nocy, gdy korzystają z któregoś z produktów podlegających usterce. "

Ale nawet jeśli wszystkie twoje łatki i aktualizacje są stosowane, a ty Zrobiliśmy wszystko, co w naszej mocy, aby zmniejszyć ryzyko niezałatanych luk, które nadal istnieją, a twoja praca nie jest wykonywana. Qualys CTO Wolfgang Kandek zauważa w poście na blogu, że Microsoft wprowadził w październiku nowe zasady, które unieważnią wiele certyfikatów.

Kandek mówi, że projekt Microsoft Certificate Review został uruchomiony, gdy Microsoft odkrył, że złośliwe oprogramowanie Flame zostało podpisane przez prawowitą firmę Certyfikat Microsoft. Kandek mówi: "Klucze RSA o długości poniżej 1024 bity zostały złamane w przeszłości i są uznawane za fałszujące."

Aby wzmocnić bezpieczeństwo certyfikatów i zapobiec takim zdarzeniom w przyszłości, Microsoft rozważy każdy certyfikat podpisany kluczem mniejszym niż 1024 bity są nieważne. Andrew Storms, dyrektor ds. Operacji bezpieczeństwa dla nCircle, wyjaśnia: "To oznacza, że ​​starsze, starsze systemy, które opierają się na słabym szyfrowaniu lub klucze, które są zbyt krótkie, przestaną działać. Napraw je teraz lub poważnie przykro, gdy przestaną pracować w październiku. "