Sicherheit

Microsoft warnt vor falschen Zertifikaten

von - 27.04.2011
Microsoft warnt vor falschen Zertifikaten
Microsoft warnt seine Kunden davor, auf gefälschte digitale Zertifikate hereinzufallen. Browser nutzen die Zertifikate, um die Echtheit einer Webseite zu prüfen. Im März waren bei einem Einbruch bei der Zertifikats-Autorität Comodo mehrere Zertifikate für zentrale Webseiten gestohlen worden.
Von dem Einbruch betroffen waren beispielsweise Zertifikate von www.google.com oder login.yahoo.com. Eines der gestohlenen Zertifikate war für die Login-Seite des Microsoft-Dienstes live.com ausgestellt. Die Einbrecher, die die Zertifikate in ihren Besitz gebracht haben, können sie beispielsweise nutzen, um Phishing-, Spoofing- oder Man-in-the-middle-Angriffe auf Surfer zu führen. So ist es möglich, einer alten Version eines Browsers eine Phishing-Seite zu präsentieren. Fragt der Browser nach dem Zertifikat, zeigt die manipulierte Webseite ihm das gestohlene digitale Dokument. Der Browser hält daraufhin die Seite für echt und kann den Nutzer nicht davor warnen, dass er gerade eine manipulierte Webseite besucht - und dort etwa seine Bankdaten oder andere Vertraulichkeiten eingibt.
Die bestohlene Zertifikatsautorität Comodo hat die kompromittierten Zertifikate zurückgerufen und für ungültig erklärt. Nun ist es an den Software-Herstellern, ihren Programmen beizubringen, dass sie den gestohlenen Zertifikaten nicht mehr vertrauen dürfen. Mozilla hatte das Problem mit dem Update auf Firefox 3.6.16 gelöst. Microsoft hatte mit dem April-Patchday auch Internet Explorer und seine Betriebssysteme auf den neuen Stand gebracht. Nun legen die Redmonder auch für die mobilen Geräte nach: Das Unternehmen hat den Sicherheitshinweis auf Geräte erweitert, die mit Windows Mobile 6.x, Windows Phone 7, Microsoft Kin oder Zune laufen.
Schützen Sie sich vor falschen Zertifikaten und installieren Sie stets die jeweils aktuellen Versionen für Ihr Betriebssystem und Ihren Browser.
Verwandte Themen