Gli sviluppatori di RustDesk hanno rilasciato la versione 1.2.3-1 del software open source Remote Desktop per il controllo remoto dei computer. In questo modo correggete un errore di sicurezza causato dal certificato di test che avete portato con voi.
annuncio
Il problema, tra l'altro, ha già fatto discutere a novembre Area di discussione del progetto RustDesk. Quando installi la versione Windows, RustDesk installa un certificato root, di cui Windows si fida da quel momento in poi per cose come la progettazione del codice. Questo era un certificato di prova utilizzato per firmare il driver RustDesk.
Discussione sul certificato di prova
La discussione è se questo possa essere utilizzato per firmare qualsiasi software di cui Windows si fida. Poiché non è documentato come viene protetto il certificato privato per la firma, ciò rappresenta un grave rischio per la sicurezza Il testo suggerisce di inserire CVEche le è stato assegnato (CVE-2024-25140, CVSS 9.8“rischio”Molto importante“).
Microsoft descrive in un articolo,Come funziona la firma dei driver durante lo sviluppo per i test. Il certificato ufficiale di progettazione del codice per RustDesk non è un certificato EV (Extended Validation), che, secondo gli sviluppatori, è un prerequisito per firmare i driver. Come soluzione alternativa, gli sviluppatori hanno semplicemente utilizzato un certificato di test.
Fino alla penultima versione, il programma di installazione di RustDesk chiedeva se fosse necessario installare il certificato e il driver firmato con esso. Il driver fornisce funzioni per la visualizzazione virtuale, che è particolarmente utile sui sistemi che funzionano senza monitor. La soluzione offerta dagli sviluppatori RustDesk è rimuovere prima il certificato di test e il driver. Vuoi ottenere un certificato EV per il quale verranno poi firmate le versioni future.
Disinstallare, sovrainstallare o rimuovere manualmente il certificato
Nel Note sulla versione per RustDesk 1.2.3-1 Gli ideatori del progetto scrivono che l'aggiornamento in realtà riguarda solo Windows su architetture di processori x64. La vulnerabilità causata dal certificato di prova può essere eliminata in tre modi: primo disinstallando RustDesk, secondo aggiornando a RustDesk 1.2.3-1 e terzo rimuovendo manualmente il certificato. Ne hanno uno anche per quello Istruzioni per la rimozione del certificato di prova disponibile. Se desideri comunque installare un monitor virtuale, puoi trovare anche quello Istruzioni per questo.
RustDesk è un software desktop remoto che non richiede server esterni ed è disponibile gratuitamente come progetto open source. RustDesk è un'alternativa, soprattutto alla luce dell'incidente informatico recentemente annunciato su Anydesk.
(il tuo sangue)
“Incurable thinker. Food enthusiast. Subtly charming alcohol scholar. Pop culture advocate.”
More Stories
Ecco come vivere l’eclissi di superluna il 18 settembre
Santa Monica dà il benvenuto ai giocatori PC con nuove funzionalità
Microcontrollori: collaborazione in tempo reale nel cloud Arduino