Mal wieder Letzter
SSL-Schwachstelle im Internet Explorer
Microsoft hat noch immer nicht zu einer Schwachstelle beim Umgang mit SSL-Zertifikaten Stellung genommen, die laut Apple evident sein soll. Andere Browser-Hersteller haben ihre Produkte bereits korrigiert.
Auf der Sicherheitskonferenz Black Hat Ende Juli in Las Vegas hat der Sicherheitsforscher Dan Kaminsky eine Sicherheitslücke beim Umgang mit SSL-Zertifikaten demonstriert. Sie betrifft mehrere Browser sowie andere Internet-Programme etlicher Hersteller. Die meisten Browser-Hersteller haben bereits reagiert und neue Versionen bereit gestellt, um den Fehler zu beseitigen. Nur Microsoft zögert noch.
Mozilla hat die Schwachstellen schon Anfang August mit Firefox 3.5.2 und 3.0.13 beseitigt, inzwischen auch bei Thunderbird 2.0.0.23. Aktuelle Versionen von Opera und Google Chrome sind nicht mehr dafür anfällig. Apple hat Safari für Mac OS X bereits korrigiert, Safari für Windows ist hingegen noch anfällig. Apple setzt bei bestimmten Funktionen auf Microsoft-Code auf, der zu Windows oder dem Internet Explorer gehört. Diese Programmteile sollen laut Apple ebenfalls für die von Kaminsky demonstrierte SSL-Schwäche anfällig sein.
Microsoft hat unterdessen noch nicht viel zu dem Problem verlauten lassen. Man untersuche die mögliche Schwachstelle in Windows, heißt es. Sobald man damit fertig sei, werde Microsoft angemessene Maßnahmen ergreifen, um seine Kunden zu schützen. Mehr habe man zurzeit nicht dazu zu sagen.
Die SSL-Lücke basiert auf einer fehlerhaften Prüfung von Sicherheitszertifikaten für verschlüsselte Verbindungen. Ein Angreifer könnte eine betrügerische Website erstellen, die ein Zertifikat einer Domain mit ähnlichem Namen missbraucht.
