Geçtiğimiz haftalarda Google’ın bazı domainlerinde yetkisiz dijital sertifikalar bulup ve bu sertifikaları bloklaması üzerine Microsoft şu anda desteklenen bütün işletim sistemlerine bir güncelleme yollayarak CTL (Certificate Trust List) listesini güncelledi. Hindistan kaynaklı olan bu sahte sertifkalar şuana kadar sadece Google ve Yahoo! servislerinin bazılarında kullanıldığı fark edilmiştir. Bu sertifikaları kullanarak saldırgan bir kişi size kendisini sertifika sahibi olarak tanıtabilir ve rahatlıkla oltalama(Phishing), spoofing ve orta adam saldırısı düzenleyip, bilgilerinizi çalabilir.
Aşağıda listelenen işletim sistemlerini kullanan cihazların herhangi birşey yapmasına gerek yoktur.
• Windows 8
• Windows 8.1
• Windows RT
• Windows RT 8.1
• Windows Server 2012
• Windows Server 2012 R2
• Windows Phone 8
• Windows Phone 8.1
Windows Vista, 7, Server 2008 ve Server 2008 R2 sistemlerinde iptal edilen dijital sertifikaları otomatik güncelleyici yüklü olmayan kullanıcıların öncelikle Microsoft Knowledge Base Article 2677070 ile sistemlerine otomatik güncelleyiciyi kurmaları gerekmektedir. Eğer sistemlerinde otomatik güncelleyici daha önceden yüklenmiş ise, bu kullanıcıların da herhangi bir şey yapmalarına gerek yoktur. CTL Microsoft tarafından otomatik olarak güncellenecektir.
Şuanda Windows XP ve Server 2003 kullanıcılarına gelen bir güncelleme yok, fakat Server 2003 kullanıcıları için Microsoft bir güncelleme üzerinde çalışmaktadır. Güncelleme gelmeyecek olan sistemler için aşağıdaki görselde detayları bulunan sertifikaları ‘Untrusted Certificates’ dosyasına el ile eklemeniz gerekmektedir.
