Microsoft rimuoverà tutti i download di Windows firmati con SHA-1 la prossima settimana

Mark July 31, 2020

Microsoft ha annunciato questa settimana che sta rimuovendo tutti i download di Windows dall’Area download Microsoft che sono firmati crittograficamente utilizzando certificati SHA-1 il 3 agosto 2020. L’algoritmo SHA-1 è stato spesso utilizzato per firmare codice eseguibili e certificati TLS e SSL utilizzati nei domini web per autenticare la legittimità di un editore.

Gli analisti della sicurezza hanno pubblicato un rapporto nel 2015, descrivendo come SHA-1 è esposto ad attacchi di collisione a causa del quale, gli aggressori potrebbero creare copie di certificati digitali per imitare una società o un altro sito web. Queste copie possono quindi essere impiegate in attacchi di phishing, alle aziende di spoofing o in attacchi man-in-the-middle per ascoltare le sessioni di rete crittografate. A causa dei difetti con i certificati SHA-1, Microsoft e altri creatori si sono allontanati dai certificati SHA-1 e richiedono SHA-2 da utilizzare per installare gli aggiornamenti di Windows.

Microsoft ha dichiarato in un nuovo bollettino di supporto rilasciato ieri, che stanno ritirando tutti i contenuti di Windows firmati con il Secure Hash Algorithm 1 (SHA-1) dall’Area download Microsoft per un aumento della sicurezza.

“Per supportare lo sviluppo di standard di sicurezza del settore e continuare a mantenere la protezione e la produttività, Microsoft lascerà il contenuto firmato da Windows per Secure Hash Algorithm 1 (SHA-1) dall’Area download Microsoft il 3 agosto 2020. Questo è il passo successivo dei nostri sforzi costanti per approvare Secure Hash Algorithm 2 (SHA-2), che meglio soddisfa i requisiti di sicurezza moderni e offre protezioni aggiuntive da vettori di attacco comuni.

“SHA-1 è un hash crittografico legacy che molti nella comunità di sicurezza ritengono non è più sicuro. L’utilizzo dell’algoritmo hash SHA-1 nei certificati digitali potrebbe consentire a un criminale di falsificare contenuti, eseguire attacchi di phishing o eseguire attacchi man-in-the-middle. “Microsoft non utilizza più SHA-1 per verificare gli aggiornamenti del sistema operativo Windows a causa di problemi di sicurezza correlati con l’algoritmo e ha fornito gli aggiornamenti adatti per spostare i clienti a SHA-2 come annunciato in precedenza. Di conseguenza, a partire da agosto 2019, i dispositivi senza supporto SHA-2 non hanno ricevuto gli aggiornamenti di Windows.

Anche se Microsoft supporta solo il contenuto firmato SHA-2 per il contenuto ufficiale, gli eseguibili di Windows firmati con SHA-1 possono comunque essere eseguiti nel sistema operativo. Se nell’Area download Microsoft sono presenti file firmati più vecchi, che vengono ancora utilizzati regolarmente, prima che Microsoft li rimuova il 3 agosto, è necessario scaricarli.

More Stories

Aggiornamento di Windows 11: saluta queste funzionalità

Mark June 25, 2021

Massachusetts MassNotify App Android COVID forzata da Google

Mark June 21, 2021

Novità di Microsoft Windows 10 Build 19043.1052

Mark June 10, 2021

You may have missed

Come rimuovere PUADImanager:Win32/InstallCore dal PC

Mark April 30, 2024

Come rimuovere PUABundler:Win32/PiriformBundler dal PC

Mark April 30, 2024

Come rimuovere PUABundler:win32/fusionCore dal PC

Mark April 30, 2024

Come rimuovere Program:Win32/Wacapew.C!ml dal PC

Mark April 30, 2024

Come rimuovere Verification.exe Trojan

Mark April 30, 2024