Декабрьский «Вторник патчей» (Patch Tuesday) принес 12 бюллетеней безопасности, исправления для 71 уязвимости, а также сообщение о том, что пользователи Xbox Live оказались под угрозой. Microsoft сообщила, что произошла утечка сертификата SSL/TLS для *.xboxlive.com и приватных ключей для него. Это означает, что пользователи сервиса стали потенциальными жертвами man-in-the-middle атак.
Ежемесячная пачка обновлений от Microsoft на этот раз содержит исправление, которое очень нелестно характеризует самих сотрудников компании. Бюллетень безопасности гласит, что Microsoft случайно допустила утечку цифрового сертификата SSL/TLS для Xbox Live, а также приватных ключей для него. Сколько людей могут пострадать из-за халатности Microsoft, не сообщается, но Xbox Live насчитывает около 40 млн активных пользователей. Как именно произошла утечка, не уточняется, вероятнее всего, компания случайно поделилась сертификатом с партнером.
Небезопасный сертификат был официально отозван Microsoft, однако мошенники все равно могут использовать его для проведения man-in-the-middle атак на необновившихся пользователей. Пока же компания сообщает, что атак с применением сертификата зафиксировано не было.
Для пользователей Windows 8 и более поздних версий ОС обновление произойдет автоматически. Пользователи Vista, Windows 7, Windows Server 2008 или Windows Server 2008 R2 тоже получат обновление, если у них активировано обновление центра сертификатов. Если пользователь по каким-то причинам отключил автоматические апдейтеры, Microsoft советует ему воспользоваться Certificates MMC snap-in и добавить утекший сертификат в список недоверенных.