245224

Sicherheitsloch in Netscape

In einigen Versionen von Netscapes Navigator und Communicator ist ein Sicherheitsloch entdeckt worden, das die Warnung vor eines ungültigen SSL-Zertifikats umgeht. Hacker können sich die Sicherheitslücke zunutze machen, indem sie den nichts ahnenden User veranlassen, geheime Informationen - etwa Kreditkartennummern oder Passwörter - an den falschen Server schicken.

In einigen Versionen von Netscapes Navigator und Communicator ist ein Sicherheitsloch entdeckt worden, das die Warnung vor einem ungültigen SSL-Zertifikats (siehe Glossar) umgeht. Durch den Fehler werden die beiden Basisfunktionen in SSL deaktiviert, mit denen den Anwendern versichert wird, dass sie tatsächlich mit dem gewünschten Web-Server kommunizieren. Betroffen sind der Communicator in den Versionen 4.72 und 4.61 sowie der Navigator 4.07.

Hacker können sich die Sicherheitslücke zunutze machen, indem sie den nichts ahnenden User veranlassen, geheime Informationen - etwa Kreditkartennummern oder Passwörter - an den falschen Server schicken. Und das obwohl die SSL-Verschlüsselung noch aktiv ist.

Der Netscape-Browser überprüft zwar alle Bedingungen, die vor dem Beginn einer SSL-Sitzung erfüllt sein müssen. Während jedoch die SSL-Verbindung noch besteht, werden alle folgenden HTTPS-Verbindungen als Teil dieser Sitzung angesehen, so dass die Bedingungen für das SSL-Zertifikat nicht noch einmal überprüft werden. Anstatt die Host-Namen mit denen der gerade laufenden Sessions zu vergleichen, vergleicht der Navigator die IP-Adressen. Da aber nicht nur einer, sondern mehrere Host-Namen die gleiche IP-Adresse haben können, ist dies ein sehr unsicheres Verfahren, das den eigentlichen SSL-Schutz teilweise außer Kraft setzt.

Abhilfe schafft ein Add-On namens Personal Security Manager (PSM). Es steht zum kostenlosen Download auf der Website der Firma iPlanet bereit. Die neueste Version des Netscape-Browsers, der Communicator 4.73 enthält bereits einen Fix für die Sicherheitslücke, die Netscape als" Acros-Suencksen SSL Vulnerability" bezeichnet.

Wer sich den PSM nicht herunterladen möchte, kann das Sicherheitsproblem aber auch manuell beheben: Wenn Sie eine SSL-geschützte Site besuchen, klicken Sie auf das Schloss-Icon (unten links in der Ecke) und überprüfen Sie, ob das verwendete SSL-Zertifikat sich auch wirklich auf den richtigen Hostnamen bezieht. Besuchen Sie etwa die Website https://www.verisign.com, dann versichern Sie sich, dass das Zertifikat für www.verisign.com und nicht für einen anderen Host-Namen ausgegeben wird. (PC-WELT, 11.05.2000, sp)

Netscape über das Sicherheitsloch (Acros-Suencksen SSL)

Download des Personal Security Manager

0 Kommentare zu diesem Artikel
245224