Veröffentlicht wurden dieses gefälschte Zertifikat und der zugehörige private Schlüssel auf der Sicherheitsmailingliste "Full Disclosure". Neben dem Internet Explorer sollen auch der Chrome von Google und Apples Safari auf dieses Zertifikat hereinfallen.
Angreifer könnten dieses Trick-Zertifikat unter Umständen zu Phishing-Angriffen verwenden. Besonders für den Bereich des Online-Bankings sei dies gefährlich, teilten Experten auf diesem Gebiet mit.
Technisch liegt dem Ganzen zugrunde, dass die Browser den "Common Name" der Zertifikate nur bis zum ersten Leerzeichen lesen, sofern an dieser Stelle ein Nullzeichen eingefügt wird.
Der Aussteller "IPS CA" hat dieses Zertifikat bereits zurückgezogen. Da der Browser aus dem Hause Microsoft stets eine aktuelle Liste über die gültigen Zertifikate abgleicht und verwendet, soll das Zertifikat mittlerweile verweigert werden. Sowohl der Firefox als auch der Opera sollen auf diesen Trick nicht hereinfallen, heißt es in einem Artikel von derStandard.
2009-10-06T16:02:00+02:00Sebastian Gruber
Amazon.de 
Alle Kommentare zu dieser News anzeigen