Original-URL des Artikels: https://www.golem.de/0311/28481.html    Veröffentlicht: 13.11.2003 10:46    Kurz-URL: https://glm.io/28481

Service Pack 1 für Internet Explorer 6 macht Patch unwirksam

Nur Windows 2000 mit Service Pack 4 von dem Problem betroffen

Wie Microsoft mitteilt, wurde ein aus dem September 2002 stammendes Security Bulletin überarbeitet, weil der darin enthaltene Patch unter bestimmten Umständen vom Service Pack 1 für den Internet Explorer 6.0 außer Kraft gesetzt wird. Der Patch behebt eine Sicherheitslücke beim Prüfen von SSL-Zertifikaten in mehreren Windows-Systemen sowie in MacOS-Software aus Redmond.

Auf Systemen mit Windows 2000 und installiertem Service Pack 4 sollte der über ein Jahr alte SSL-Patch erneut eingespielt werden, wenn nach der Installation des Service Packs das Service Pack 1 für den Internet Explorer 6 aufgespielt wurde. Obgleich das Service Pack 4 für Windows 2000 den SSL-Patch bereits enthält, bleibt dieser wirkungslos. Denn das Service Pack 1 für den Internet Explorer 6 überschreibt den SSL-Patch, so dass derartige Systeme weiterhin unsicher sind. Microsoft machte keine Angaben dazu, ob das Service Pack 1 für den Internet Explorer 6 überarbeitet wird, damit dieses den SSL-Patch künftig nicht mehr überschreibt.

Durch das Sicherheitsloch arbeitet die digitale Zertifizierung nicht korrekt, so dass man der entsprechenden Software ein nicht gültiges Zertifikat vorgaukeln kann. So kann ein Angreifer ein Zertifikat so verändern, dass dieses als gültig akzeptiert wird, weil eine Überprüfungsinstanz fehlt. Somit sind gefälschte SSL- und E-Mail-Zertifikate möglich, aber auch die Manipulation von signierten Programmen ist darüber realisierbar.

Microsoft bietet den SSL-Patch für Windows 2000 Service Pack 4 mit installiertem Internet Explorer 6 Service Pack 1 über das überarbeitete Security Bulletin weiterhin zum Download an und empfiehlt, den Patch bei den betroffenen Systemen unverzüglich einzuspielen.  (ip)


© 1997–2020 Golem.de, https://www.golem.de/