Neue Lücke in allen gängigen Windows-Versionen

5. September 2002, 10:52
2 Postings

Fehler in der Zertifikatsvalidierung kann zur Vorgabe falscher Identität genutzt werden

Microsoft hat das neue Security Bulletin MS02-050 veröffentlicht. Darin wird ein Fehler in allen gängigen Windows-Versionen beschrieben der es Angreifern ermöglichen kann falsche Identitäten vorzuspiegeln.

Alle sind betroffen

Laut Microsoft kann ein Fehler in der Zertifikatsvalidierung zur Vorgabe falscher Identität genutzt werden. Diese Sicherheitslücke betrifft Benutzer von Microsoft Windows, Office für Mac, Internet Explorer für Mac oder Outlook Express für Mac. Administratoren und Benutzer betroffener Produkte sollten den bereitgestellten Patch umgehend installieren, so Microsoft.

Betroffene Produkte

  • Microsoft Windows 98
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows ME
  • Microsoft Windows NT 4.0
  • Microsoft Windows NT 4.0 Terminal Server Edition
  • Microsoft Windows 2000
  • Microsoft Windows XP
  • Microsoft Office für Macintosh
  • Microsoft Internet Explorer für Mac
  • Microsoft Outlook Express für Mac

    Beschreibung des Problems

    Das IETF Profil des X.509 Zertifikatsstandards definiert verschiedene optionale Felder, die in einem digitalen Zertifikat inkludiert sein können. Eines dieser Felder ist das Feld "Basic Constraints", das einerseits die maximal erlaubte Länge einer Zertifikatskette bestimmt, anderersits auch festlegt ob das Zertifikat eine Zertifikatsauthorität ist, oder ein End-Zertifikat ist. Allerdings überprüfen die APIs innerhalb des CryptoAPI, das Zertifikatsketten erstellt und validiert (CertGetCertificateChain(), CertVerifyCertificateChainPolicy() und WinVerifyTrust()) das "Basic Constraints" Feld nicht. Dieses Problem, allerdings nicht in Verbindung mit CryptoAPI ist auch in verschiedenen Microsoft Produkten für Macintosh vorhanden.

    Dieses Problem kann es einem Angreifer, der ein gültiges End-Zertifikat besitzt erlauben, ein diesem untergeordnetes Zertifikat zu erstellen das, obwohl gefälscht, einer Überprüfung standhalten würde. Nachdem CryptoAPI für eine breite Palette an Produkten verwendet wird, kann dieses Problem für verschiedene verschleierte Angriffe verwendet werden.(red)

    Share if you care.