Bei Verisign hat sich ein Betrüger, der sich als Mitarbeiter von Microsoft ausgab, zwei Zertifikate ausstellen lassen. Jeder Programmcode, der mit diesen Zertifikaten unterzeichnet wird, erscheint, als ob er tatsächlich von Microsoft stammen würde.
Bei Verisign hat sich ein Betrüger, der sich als Mitarbeiter von Microsoft ausgab, zwei Zertifikate ausstellen lassen. Jeder Programmcode, der mit diesen Zertifikaten unterzeichnet wird, erscheint, als ob er tatsächlich von Microsoft stammen würde - was natürlich nicht stimmt.
Zwar wird in der Regel ein Warnhinweis angezeigt, wenn man einen solchen Code starten will. Doch wird kaum ein Benutzer tatsächlich Verdacht schöpfen. In der Regel wird man darauf vertrauen, dass das Zertifkat echt ist und der Programmcode von Microsoft stammt.
Jeder, der über dieses Zertifikat verfügt, kann damit seinen eigenen Code als Microsoft-Programm ausgeben. Wird das Zertifikat akzeptiert, kann auf dem betroffenen Rechner der damit gekennzeichnete Code ausgeführt werden.
Versign hat zwar die Zertifkate mittlerweile widerrufen. Doch muss erst ein Patch installiert werden, um die illegale Benutzung der Zertifkate zu unterbinden. Denn der Internet Explorer prüft bei einem solchen Zertifikat nicht nach, ob eventuell ein Widerruf vorliegt, sondern akzeptiert es.
Vorläufige Abhilfe: Die gefälschten Zertifikate lassen sich erkennen, wenn man Gültigkeitsdaten und Seriennummer überprüft. Klicken Sie dazu auf "More Information", wenn die Aufforderung erscheint, die Ausführung des Codes zu akzeptieren. Vergleichen Sie die dann erscheinenden Angaben mit denen der beiden gefälschten Zertifikate:
Issued to: Microsoft Corporation
Issued by: VeriSign Commercial Software Publishers CA
Valid from 1/29/2001 to 1/30/2002
Serial number is 1B51 90F7 3724 399C 9254 CD42 4637 996A
Issued to: Microsoft Corporation
Issued by: VeriSign Commercial Software Publishers CA
Valid from 1/30/2001 to 1/31/2002
Serial number is 750E 40FF 97F0 47ED F556 C708 4EB1 ABFD
Ausführliche Informationen erhalten Sie unter den unten angegebenen Links. (PC-WELT, 23.03.2001, hc)
Microsoft Security Bulletin vom 22. März
Digitale Unterschrift beschlossen (PC-WELT Online, 16.03.2001)
Computer-Kriminalität kostet Millionen (PC-WELT Online, 13.03.2001)
Deutsche Bank 24 ohne Sicherheitszertifikat (PC-WELT Online, 14.07.2000)