A distanza di parecchio tempo dalla conferenza Black Hat 2009 tenuta a luglio da Moxie Marlinkspike, Microsoft non ha ancora rilasciato una soluzione per il problema legato allo spoofing dei certificati SSL.

L’hacker è infatti riuscito a dimostrare come sia virtualmente possibile falsificare i certificati per qualsiasi sito Web su Internet.

La vulnerabilità riguarda l’interfaccia CryptoAPI di Microsoft e di conseguenza interessa tutti i software (e sono molti) che ne fanno uso, a partire da Internet Explorer fino a Safari e Google Chrome.

Marlinkspike ha affermato che tutti i programmi che su Windows utilizzano questa API sono vulnerabili a questo attacco SSL: basterebbe un solo certificato falso per mettere in pericolo la sicurezza degli utenti.

Il bug fa si che i browser interessati come Internet Explorer, Safari e Google Chrome non mostrino alcun warning nell’accedere ad un sito fraudolento che usa il certificato falsificato.

Continua »