Firefox 3.6.16 bügelt Zertifikats-Diebstahl aus

Angreifer sind bei einem Partner der Zertifikats-Autorität (engl. Certificate Authority) Comodo eingebrochen und haben neun Zertifikate gestohlen. Die Entwickler von Browsern arbeiten mit den Zertifikatsbehörden zusammen und bauen wichtige Zertifikate direkt in den Browser ein. Webseiten, die mit diesen Zertifikaten signiert sind, erkennt der Browser auf diesem Weg als die legitime Seite, die der Nutzer ansurfen wollte. Versucht ein Angreifer etwa, einen Nutzer auf eine gefälschte Webseite umzuleiten, warnt Firefox, wenn er das Zertifikat nicht kennt und stuft die Webseite als nicht vertrauenswürdig ein.

Bei dem Einbruch in die Systeme des Comodo-Partners wurden Zertifikate unter anderem für login.live.com, mail.google.com, login.yahoo.com, login.skype.com und addons.mozilla.org gestohlen.

Die Person, die die insgesamt neun Zertifikate von Comodo entwendet hat, könnte demnach eine der betroffenen Seiten fälschen und sie mit dem echten (aber gestohlenen) Zertifikat versehen. Da der Browser nicht warnt, merkt der Nutzer nicht, dass er sich auf einer manipulierten Webseite befindet.

Comodo hat schnell reagiert und alle betroffenen Zertifikate zurückgezogen. Wie das Unternehmen im Warnhinweis mitteilt, ist als einziges der gestohlenen Zertifikate login.yahoo.com im Internet aufgetaucht. Keines der anderen Zertifikate wurde in der Öffentlichkeit gesehen.

Nun ist es an den Browser-Herstellern, ihre Software so zu aktualisieren, dass sie die alten Zertifikate nicht mehr verwendet. Mozilla hat für Firefox bereits die entsprechenden Updates veröffentlicht sowie einen Blog-Eintrag erstellt, der den Sachverhalt erklärt. Firefox 3.6.16 und die endgültige Version 4.0 von Firefox fallen auf die gestohlenen Zertifikate nicht mehr herein.

Prüfen Sie die Version Ihres Browsers und achten Sie darauf, dass die Software auf dem neuesten Stand ist. Sollte doch noch eines der gekaperten Zertifikate im Internet auftauchen, schützt Sie Ihr Browser davor, den Dieben auf den Leim zu gehen.