187944

SSL-Bug: Microsoft beschwichtigt

16.08.2002 | 13:22 Uhr |

Vor kurzem entdeckte der Programmierer Mike Benham einen Bug in Microsofts Internet Explorer, der dazu führt, dass der Browser nicht in der Lage ist, digitale Site-Zertifikate korrekt zu überprüfen. Jetzt hat sich der Softwaregigant zu Wort gemeldet, den Bug bestätigt und die Anwender beschwichtigt.

Vor kurzem entdeckte der Programmierer Mike Benham einen Bug in Microsofts Internet Explorer ( wir berichteten ). Jetzt hat sich der Softwaregigant zu Wort gemeldet, den Bug bestätigt und die Anwender beschwichtigt.

Hintergrund: Der Bug führt dazu, dass der Browser nicht in der Lage ist, digitale Site-Zertifikate bestimmter "Subunternehmer" von großen Anbietern wie Verisign korrekt zu überprüfen. Der Besitzer eines gültigen Zertifikats für eine Website könnte dadurch Echtheitsbestätigungen anderer Sites fälschen und sich für diese Web-Seiten ausgeben.

Microsofts Angaben zufolge wäre es recht kompliziert für einen Cracker, sich den Bug zu Nutze zu machen. Dafür führt das Redmonder Unternehmen einige Gründe an.

* Das Angriffs-Szenario ist unwahrscheinlich. Es würde voraussetzen, dass der Angreifer die Internet-Infrastruktur des Anwenders modifizieren könnte. Dies wäre sehr aufwändig und nur von zeitlich begrenzter Dauer.

* Die Identität des Crackers könnte sehr leicht herausgefunden werden, da er Besitzer eines gültigen Zertifikats für eine Website sein müsste. Um an dieses zu gelangen, verlangen die "Certificate Authorities" umfangreiche Identitätsnachweise. Die Strafverfolgungsbehörden hätten somit gute Chancen, dem/den Angreifer/n auf die Spur zu kommen.

* Anwender hätten immer die Möglichkeit, die Wahrheit zu erkennen. Der Grund: Bei einer SSL-Verschlüsselung wird ein Icon im Browser angezeigt (unten rechts). Per Mausclick könnte Details zum Zertifikat und dem Herausgeber herausgefunden werden.

Trotz der Einwände wird bei Microsoft eifrig an einem Patch gebastelt, der zusammen mit einem Security-Bulletin veröffentlicht wird. Wann es soweit ist, ist allerdings noch unklar.

Weitere Details finden Sie hier . Voraussetzung sind gute Englischkenntnisse.

Neue Lecks im Sicherheitstool PGP und Microsofts IE (PC-WELT Online, 12.08.2002)

0 Kommentare zu diesem Artikel
187944