Microsoft a révélé la fuite des certificats de sécurité du site Web xboxlive.com dans un récent avis de sécurité. La possibilité pour les attaquants d’usurper l’identité du site Web du service est désormais une réalité. Microsoft n’a pas divulgué de détails sur la façon dont la fuite s’est produite dans l’avis.
L’attaquant pourrait tenter d’inciter les utilisateurs à communiquer leur nom d’utilisateur et leur mot de passe en utilisant le faux certificat du site Web. La bonne nouvelle est que le certificat divulgué ne peut pas être utilisé pour générer de nouveaux certificats, usurper l’identité d’autres domaines ou signer du code.
Microsoft a déclaré qu’il n’était pas au courant d’attaques liées à la fuite accidentelle, cependant.
La société a révoqué la confiance dans le certificat, ce qui, le plus souvent, est un processus automatique pour toutes les versions de Windows prises en charge et les utilisateurs n’ont pas à prendre de mesures.
En complément, Microsoft a publié une série de correctifs pour des problèmes dans ses produits ce mois-ci. L’une des plus grandes vulnérabilités affecte toutes les versions de Windows OS et repose sur un problème de corruption de la mémoire. Ce problème pourrait permettre à un attaquant d’installer un logiciel malveillant sur des machines non corrigées.
Une deuxième vulnérabilité majeure existe dans toutes les versions d’Internet Explorer sous la forme d’une faille d’élévation de privilèges. Cette vulnérabilité pourrait permettre à un attaquant d’obtenir les mêmes privilèges d’utilisateur que le compte de la victime.
