Microsoft сообщает о том, что компания VeriSign по ошибке выдала 2 сертификата неизвестному, выдавшему себя за сотрудника MS

Корпорация Microsoft сообщила в четверг, что специализирующаяся на средствах цифровой подписи компания VeriSign выдала неизвестному, назвавшемуся сотрудником Microsoft, два сертификата для подписи программного обеспечения. Такие сертификаты применяются для подписи программ, загружаемых из Интернета, включая модули ActiveX и макросы MS Office. Причиной случившегося стала ошибка одного из работников VeriSign. Обычно перед выдачей сертификата компания тщательно проверяет запрос и требует его подтверждения со стороны заказчика. Для VeriSign это первый случай ошибочной выдачи сертификатов.

К настоящему времени VeriSign обслуживает около 500 тыс. подобных сертификатов, причем размер материальной ответственности VeriSign перед клиентами за сохранность и правильность использования каждого из сертификатов составляет 100 тыс. долл. Как сообщается, сертификаты были получены неизвестным лицом или организацией 30 и 31 января 2001 г. Их владелец теперь имеет возможность выдать любую программу, в том числе вирус или троян, за официальный продукт Microsoft. VeriSign уже внесла оба сертификата в черный список, однако сами сертификаты не имеют в своем составе ссылок на такой список, что не позволяет вовремя узнать о потенциальной опасности. Пока Microsoft и VeriSign рекомендуют при загрузке программ от Microsoft проверять сроки действия сертификатов ? если в поле «Valid from» значится дата 29 или 30 января 2001 г., то загружать такую программу не следует. Microsoft также просит всех, столкнувшихся с программами, заверенными указанными сертификатами, сообщить об этом в компанию по адресу secure@microsoft.com.