Díky nedělní krádeži cca pěti set SSL (tzv. Secure Socket Layer) osvědčení ze serverů jedné holandské certifikační autority vyvstala otázka, zda nemůžou být zneužity i pro šíření malwaru prostřednictvím automatické aktualizační služby Windows Update. Pakliže by hackeři totiž skutečně získali potřebný certifikát, mohli by najít způsob, jak vydávat svůj vlastní obsah za legitimní aktualizaci od Microsoftu a v konečném důsledku tak v podstatě velmi jednoduše „donutit“ Windows k jejímu stažení a automatické instalaci.
Ilustrační obrázek Windows Update
Toto by samozřejmě mohlo znamenat potenciálně globální katastrofu. Dle vyjádření Jonathana Nesse, inženýra z Microsoft Security Response Center, však útočníci v současné době prostředky, které by jim toto umožnily, nedisponují. Ačkoliv by mohli být schopni sfalšovat DNS záznamy a přesměrovat některé adresy Microsoftu, klient Windows Update podvodnou aktualizaci odmítne nainstalovat. K tomu by byl potřeba kořenový certifikát Microsoftu, který je prozatím pod ochrannými křídly mateřské firmy. Nezbývá než pevně věřit, že se výše popsaná varianta ve skutečnosti nikdy realitou nestane.
Zdroj: cpw.com
