Windows-Update sperrt unsichere SSL-Zertifikate
Das System des Unternehmens wurde kompromittiert, so dass Hacker insgesamt neun Zertifikate von bereits existierenden Websites erhalten konnten. Sämtliche Browser-Hersteller müssen ihre Produkte nun mit einem Update versorgen, das die Zertifikate auf eine Blacklist setzt. Google beseitigte die Sicherheitslücke mit Chrome 10.0.648.151, Mozilla setzte die notwendigen Änderungen noch mit Firefox 4.0 um.
Nun hat auch Microsoft ein entsprechendes Update für Windows bzw. den Internet Explorer veröffentlicht. Es wird seit der letzten Nacht via Windows Update angeboten. Informationen darüber findet man im Security Advisory 2524375. Eine manuelle Downloadmöglichkeit für Windows 7, Vista, XP sowie die Server-Versionen bietet die Microsoft Knowledge Base.
Laut Microsoft sind die folgenden Domains von den gestohlenen SSL-Zertifikaten betroffen:
Im schlimmsten Fall könnten die Kriminellen die SSL-Zertifikate nutzen, um nachgemachte Websites zu gestalten, die dem Besucher Schadsoftware unterschieben. Da der Browser ein gültiges Zertifikat erkennt, wird kein warnender Hinweis ausgegeben. Manipulieren die Angreifer DNS-Einträge, könnten sogar sehr viele Anwender auf die schadhafte Website umgelenkt werden.
Eigentlich hatten die Herausgeber von SSL-Zertifikaten einen Mechanismus implementiert, der in genau solchen Fällen aktiv werden soll und den Browser darüber informiert, dass ein Zertifikat nicht gültig ist, da es gestohlen wurde. Doch in der Praxis stellte sich nun heraus, dass sich die dafür benötigten Anfragen des Browsers blockieren lassen und die Schutzmechanismen somit nicht zum Einsatz kommen.
Nun hat auch Microsoft ein entsprechendes Update für Windows bzw. den Internet Explorer veröffentlicht. Es wird seit der letzten Nacht via Windows Update angeboten. Informationen darüber findet man im Security Advisory 2524375. Eine manuelle Downloadmöglichkeit für Windows 7, Vista, XP sowie die Server-Versionen bietet die Microsoft Knowledge Base.
Laut Microsoft sind die folgenden Domains von den gestohlenen SSL-Zertifikaten betroffen:
- login.live.com
- mail.google.com
- www.google.com
- login.yahoo.com (3 Zertifikate)
- login.skype.com
- addons.mozilla.org
- Global Trustee
Im schlimmsten Fall könnten die Kriminellen die SSL-Zertifikate nutzen, um nachgemachte Websites zu gestalten, die dem Besucher Schadsoftware unterschieben. Da der Browser ein gültiges Zertifikat erkennt, wird kein warnender Hinweis ausgegeben. Manipulieren die Angreifer DNS-Einträge, könnten sogar sehr viele Anwender auf die schadhafte Website umgelenkt werden.
Eigentlich hatten die Herausgeber von SSL-Zertifikaten einen Mechanismus implementiert, der in genau solchen Fällen aktiv werden soll und den Browser darüber informiert, dass ein Zertifikat nicht gültig ist, da es gestohlen wurde. Doch in der Praxis stellte sich nun heraus, dass sich die dafür benötigten Anfragen des Browsers blockieren lassen und die Schutzmechanismen somit nicht zum Einsatz kommen.
Jetzt als Amazon Blitzangebot
Ab 06:00 Uhr Hftek Monitor TV Tisch-Halterung Halter Mounts für Bildschirme von 13 bis 27-Zoll ? Vesa 75/100
Original Amazon-Preis
25,99 €
Im Preisvergleich ab
29,99 €
Blitzangebot-Preis
21,99 €
Ersparnis zu Amazon 15% oder 4 €
Beliebte Downloads
Beliebt im Preisvergleich
- Sicherheit & Backup:
Neue Nachrichten
Beliebte Nachrichten
Videos
Michael Diestelberg
Redakteur bei WinFuture
Ich empfehle ...
Meist kommentierte Nachrichten
Forum
-
participants-database - die beliebte Datenbank für viele Anwendungen
el_pelajo - vor 18 Minuten -
Windows 11 Start Problem
kevuser321 - Gestern 19:29 Uhr -
[Umfrage] Was für Browser nutzt ihr
DON666 - Gestern 16:35 Uhr -
10 oder 11?
raffa - Gestern 15:21 Uhr -
KDE, GNOME, XFCE, LXQT, oder LXDE
was setzt ihr ein?KDE, GNOME, XFC
Gregor54 - Gestern 08:06 Uhr
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen