Internet Explorer und Konqueror mit SSL-Fehlern
Browser prüfen SSL-Zertifikate nur unzureichend
Sowohl der Internet Explorer als auch der Linux-Browser Konqueror weisen eine Sicherheitslücke beim Aufruf von SSL-Seiten auf, wie Beiträge auf der Bugtraq-Mailingliste berichten. Angreifer können einem Surfer so die sichere Verbindung zu einer bestimmten Webseite vorgaukeln, die aber so nicht existiert.
Laut der Beiträge auf Bugtraq überprüft der Internet Explorer ab der Version 5.0 sowie Konqueror die Zertifizierung von SSL-Seiten nicht korrekt, weil nicht zwischen lokalen Zertifikaten und denen von zentralen Authentifizierungsdiensten unterschieden wird.
Um sich den Fehler im Browser zu Nutze zu machen, muss sich ein Angreifer ein SSL-Zertifikat von einer offiziellen Zertifizierungsstelle für eine Website besorgen, um ein gültiges Zertifikat für jede andere Webseite zu erzeugen. Das ist möglich, weil der SSL-Standard auch Zwischeninstanzen erlaubt, die von den betroffenen Browsern aber nicht gegengeprüft werden und so dieses Schlupfloch eröffnen.
Microsoft hat auf diese Probleme bisher nicht reagiert. Für den KDE-Browser Konqueror gibt es bereits einen entsprechenden Patch, der im aktuellen CVS-Repository enthalten ist. In Kürze soll auch für die ältere Version aus KDE 2.2.x ein Patch zur Verfügung stehen.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Ist nich Konqueror -> kde -> fast windows? *duck*
Mit Linux wäre das nicht passiieeerrt.!! gut so?
Hm bin zwar kein Kiddie mehr mit 26 Jahren aber trotzdem benutze ich Linux! Man sieht...
Wo sind die Kiddies die "Mit Linux wäre das nicht passiert!" brüllen?