Microsoft

Windows Updates nicht von gestohlenen SSL-Zertifikaten betroffen

Dienstag, 06.09.2011 | 10:40 von Panagiotis Kolokythas
© Polylooks
Die von einem niederländischen Unternehmen gestohlenen SSL-Zertifikate können laut Angaben von Microsoft nicht dazu missbraucht werden, um gefälschte Updates über Windows Update zu verbreiten.
Hackern ist es gelungen, über 500 SSL-Zertifikate von dem niederländischen Unternehmen DigiNotar zu stehlen . Zu den betroffenen Domains sollen auch Websites gehören, die die Nachrichtendienste CIA, MI6 und der Mossad nutzen. Auch Microsoft, Yahoo, Skype, Facebook, Twitter und Microsofts Update-Dienst gehören zu den Opfern. Microsoft hat aber mittlerweile verlauten lassen, dass die gestohlenen Zertifikate nicht dafür missbraucht werden könnten, um manipulierte Updates an die Windows-Gemeinde über Windows Update zu verbreiten.

In einem Blog-Eintrag des Microsoft Security Response Center (MSRC) betont Microsoft-Entwickler Jonathan Ness, dass der Windows-Update-Client nur Inhalte installieren könne, die Microsoft selbst digital signiert habe. Sieben der 531 gestohlenen Zertifikate galten für die Domains update.microsoft.com und windowsupdate.com. Weitere sechs der gestohlenen Zertifikate galten für *.microsoft.com.

Laut Microsoft können die Diebe die Zertifkate für windowsupdate.com nicht missbrauchen, weil Microsoft diese Domain nicht mehr nutzt. Windows Update nutzt mittlerweile die Domain windowsupdate.microsoft.com. Die Zertifikate für update.microsoft.com und *.microsoft.com könnten dagegen von den Hackern verwendet werden. Die über diese Domains ausgelieferten Updates sind aber - wie erwähnt - durch ein zusätzliches Zertifikat gesichert, das nur Microsoft vergeben kann. Ein ähnliches Prinzip nutzen auch andere Hersteller, wie Apple, um ihre Updates zusätzlich abzusichern.

Die Browser-Hersteller Mozilla und Google haben bereits angekündigt, mit neuen Browser-Versionen künftig alle Zertifikate blockieren zu wollen, die von DigiNotar herausgegeben wurden . Google Chrome wurde bereits dementsprechend aktualisiert und Mozilla wird voraussichtlich noch am Dienstag Firefox 6.0.2 veröffentlichen. Microsoft will sich anschließen und ebenfalls künftig im Internet Explorer alle DigiNotar-Zertifikate blockieren.

Dienstag, 06.09.2011 | 10:40 von Panagiotis Kolokythas
Kommentieren Kommentare zu diesem Artikel (2)
  • deoroller 19:49 | 06.09.2011

    Nur mit Original-Windows-Gültigkeitsprüfung. Da fühlt man sich auch sicher. :bse:

    Antwort schreiben
  • Nevok 19:23 | 06.09.2011

    Windows Updates nicht von gestohlenen SSL-Zertifikaten betroffen

    Über Windows Update kann ein Update für die Zertifikatssperrliste heruntergeladen werden! Gruß Nevok

    Antwort schreiben
1110458