SSL

Windows Update sperrt gestohlene Zertifikate

Die bei Comodo entwendeten SSL-Zertifikate werden nun nicht nur von Browsern, sondern auch von Windows direkt gesperrt. Dazu hat Microsoft Updates für alle Versionen des Betriebssystems von XP bis Server 2008 veröffentlicht.

Artikel veröffentlicht am ,
SSL: Windows Update sperrt gestohlene Zertifikate

Die auch einzeln ladbaren Updates gibt es für Windows XP, Vista, Windows 7 sowie die Server 2003 und 2008 jeweils in den 32- und 64-Bit-Versionen. Sie werden seit der Nacht zum 24. März 2011 auch per Windows Update verteilt. Nach der Installation der bis zu 54 KByte kleinen Patches ist kein Neustart des Rechners erforderlich. Microsoft hat dazu auch ein Security Advisory erstellt.

Stellenmarkt
  1. (Senior) IT Professional Client Systems (m/w/d)
    ALDI International Services SE & Co. oHG, Mülheim an der Ruhr
  2. Manager (m/w/d) Information Security Management
    Eurowings Aviation GmbH, Köln
Detailsuche

Die Updates sollten auf jedem Windows-PC installiert werden, weil sie ein Problem mit einem Grundmechanismus der Internetsicherheit lösen. Durch einen Passwortdiebstahl wurden neun Zertifikate des Herausgebers von SSL-Zertifikaten, Comodo, entwendet. Laut Microsoft wurden diese auf die Dienste login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com und addons.mozilla.org ausgestellt.

Kriminelle können nun durch eine manipulierte URL oder andere Maßnahmen wie DNS-Spoofing Benutzer beispielsweise auf vermeintliche Google- oder Yahoo-Seiten umleiten und ihnen Schadsoftware unterschieben. Diese Programme geben sich dann als von Google oder Yahoo signiert aus, so dass der Anwender kaum Verdacht schöpft. Auch eine Installation aus anderer Quelle, etwa durch einen Download, ist möglich.

Bei Mozilla ist die Situation besonders prekär, weil dem Browser Firefox so auch Plugins untergeschoben werden können, die er für ungefährlich hält. Mozilla hat aber, ebenso wie alle anderen Browserhersteller, bereits reagiert und Updates bereitgestellt. Ebenfalls schwer betroffen ist Yahoo, für dessen Dienste Microsoft zufolge drei gestohlene Zertifikate existieren. Diese sind, ebenso wie die anderen digitalen Urkunden, aber inzwischen für ungültig erklärt worden.

Nachtrag vom 24. März 2011, 10:35 Uhr

Golem Karrierewelt
  1. Go für Einsteiger: virtueller Zwei-Tages-Workshop
    25./26.07.2022, Virtuell
  2. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    04.-06.07.2022, Virtuell
Weitere IT-Trainings

Comodo hat erklärt, wie die Zertifikate entwendet werden konnten. Einem Blog-Post des Unternehmens zufolge wurde das Passwort eines Wiederverkäufers von Comodo-Zertifikaten von noch unbekannten Dritten illegal verwendet. Dadurch sollen zwar kurz gültige SSL-Zertifikate generiert worden sein, einen Zugriff auf die Infrastruktur von Comodo oder gar auf die Root-Keys soll es nicht gegeben haben.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Unix-Nachfolger
Plan 9 sollte bessere Audio-Kompression bekommen als MP3

Die Entwicklung der Audio-Kompression und die schwierige MP3-Patentsituation hätte ohne das Nein eines Anwalts wohl anders ausgesehen.

Unix-Nachfolger: Plan 9 sollte bessere Audio-Kompression bekommen als MP3
Artikel
  1. Bedenken beim Datenschutz: Schulen dürfen Teams bald nicht mehr nutzen
    Bedenken beim Datenschutz
    Schulen dürfen Teams bald nicht mehr nutzen

    Unter anderem in Rheinland-Pfalz dürfen Schulen ab dem kommenden Schuljahr Microsoft Teams nicht mehr nutzen.

  2. Vision, Disruption, Transformation: Populäre Denkfehler in der Digitalisierung
    Vision, Disruption, Transformation
    Populäre Denkfehler in der Digitalisierung

    Der Essay Träge Transformation hinterfragt Schlagwörter des IT-Managements und räumt mit gängigen Vorstellungen auf. Die Lektüre ist aufschlussreich und sogar lustig.
    Eine Rezension von Ulrich Hottelet

  3. Pro Electric Supervan: Ford zeigt Elektro-Van mit 1.490 kW
    Pro Electric Supervan
    Ford zeigt Elektro-Van mit 1.490 kW

    Ford hat auf dem Goodwood Festival of Speed den Ford Pro Electric Supervan gezeigt, der die Tradition der Transit-Showcars des Unternehmens fortsetzt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Prime Video: Filme leihen 0,99€ • Alternate: Gehäuse & Co. von Fractal Design • Nur noch heute: 16.000 Artikel günstiger bei MediaMarkt • MindStar (Samsung 970 EVO Plus 250GB 39€) • Hori RWA 87,39€ • Honor X7 128GB 150,42€ • Phanteks Eclipse P200A + Glacier One 280 157,89€ [Werbung]
    •  /