245030

IE-Bug: Falsche Server-Verbindung

Im Internet Explorer sind zwei gravierende Sicherheitslücken entdeckt worden, die eine grundlegende Funktion der SSL-Verschlüsselung deaktivieren. Damit können die Warnungen vor ungültigen SSL-Zertifikaten umgangen werden. Solche Warnungen sollen bei sicherheitskritischen Anwendungen wie beispielsweise dem Online-Banking sicher stellen, dass der Anwender tatsächlich mit der gewünschten Website kommuniziert. Ansonsten kann es sein, dass sich der Browser mit einem Server verbindet, der eingerichtet wurde, um vertrauliche Informationen wie Kreditkartennummern oder Passwörter auszuspionieren.

Im Internet Explorer sind zwei gravierende Sicherheitslücken entdeckt worden, die eine grundlegende Funktion der SSL-Verschlüsselung (siehe Glossar) deaktivieren. Damit können die Warnungen vor ungültigen SSL-Zertifikaten umgangen werden. Solche Warnungen sollen sicher stellen, dass der Anwender tatsächlich mit der gewünschten Website kommuniziert. Ansonsten kann es sein, dass sich der Browser mit einem Fake-Server verbindet, der eingerichtet wurde, um vertrauliche Informationen wie Kreditkartennummern oder Passwörter auszuspionieren.

Bei diesem so genannten Web-Spoofing wird durch Vermittlung einer falschen IP-Nummer (siehe Glossar) eine Verbindung zu einer Website aufgebaut, die genauso aussieht wie die Site des gewünschten Anbieters - die gleichen Inhalte, das gleiches Design, die gleichen Funktionen. Nur die IP-Adresse und das SSL-Zertifikat stimmen mit dem Original nicht über ein, aber das sieht der ahnungslose Anwender nicht, gibt also die gewünschten Login-Informationen in das angezeigte Online-Formular ein. Damit erhält der Server des Angreifers das Passwort und kann sich mit dem "echten" Server verbinden. Auf diese Weise kann der Angreifer im Namen seines Opfers Online-Transaktionen durchführen.

Gültige SSL-Zertifikate sollen den Anwender vor solchen Angriffen schützen. Wenn der Browser versucht, sich mit einem SSL-geschützen Server zu verbinden, wird eine so genannte SSL-Session aufgebaut. Zu Beginn dieser Session präsentiert der Server ein Zertifikat mit seinem SSL-Schlüssel. Dabei überprüft er, ob die folgenden Bedingungen erfüllt sind: Das Zertifikat muss von einer autorisierten Stelle ausgestellt und zeitlich gültig sein. Und es muss für den Server gelten, zu dem der Browser eine Verbindung aufbaut. Wird eine der Bedingungen nicht erfüllt, zeigt der Browser eine Warnung an. Der Anwender muss dann entscheiden, ob er die Verbindung trotzdem herstellen will.

Wie jedoch jetzt bekannt wurde, überprüft der Internet Explorer die Bedingungen für das Zertifikat nur bei der ersten Verbindung, die der Anwender mit einem bestimmten Server aufbaut, solange der Browser geöffnet ist. Erfüllt die Verbindung alle Auflagen, erfolgt jede erneute Verbindung mit der jeweiligen Website, ohne dass die Bedingungen erneut überprüft werden. Offenbar nimmt der IE an, dass ein SSL-geprüftes Zertifikat bei den nachfolgenden Besuchen seine Gültigkeit behält. Das ist jedoch nicht unbedingt der Fall.

Die zweite Sicherheitslücke besteht darin, dass der IE unter Umständen sogar bei der ersten SSL-Verbindung nicht alle drei Bedingungen checkt. Das ist etwa der Fall, wenn die SSL-Verbindung über ein Bild oder einen Frame erfolgt. Dann kontrolliert der Browser nur, wer das Zertifikat ausgestellt hat. Den Namen des Servers und die Ablauffrist des Zertifikats werden dagegen nicht geprüft.

Das Problem besteht in den IE-Versionen 4.0, 4.01, 5.0 und 5.01. Ältere IE-Versionen wurden nicht auf die Sicherheitslücken getestet. Es ist aber davon auszugehen, dass auch sie betroffen sind.

Microsoft hat einen englischsprachigen Patch (siehe Glossar) heraus gegeben, der die Sicherheitslücken im IE 5.0 und 5.01 beheben soll. Er steht zum kostenlosen Download auf der Microsoft-Website bereit. Vor allem Anwendern, die Finanztransaktionen online durchführen, wird dringend geraten, den Patch herunterzuladen.

Für Anwender, die den Patch nicht installieren, wird folgender Workaround (siehe Glossar) empfohlen: Wenn Sie auf einer SSL-geschützten Site besuchen, doppelklicken Sie auf das Schloss-Icon in der Statuszeile und prüfen Sie, ob das Zertifikat für die Verbindung für den gewünschten Server gilt, das heißt, ob die URL (siehe Glossar) mit der der gewünschten Website übereinstimmt.

Ein Patch für die ebenfalls betroffenen IE-Versionen 4.0 und 4.01 war zum Zeitpunkt der Recherche noch nicht verfügbar. (PC-WELT, 07.06.2000, sp)

Patch für Sicherheitsproblem im IE 5.x

Informationen zur Sicherheitslücke im IE

0 Kommentare zu diesem Artikel
245030