Microsoft-Zertifikate ermöglichen Spoofing und Phishing

4. Juni 2012, 13:26

Update bereits veröffentlicht - Spionagewurm Flame nutzte Microsoft-Signatur

In einem aktuellen Sicherheitshinweis abseits der Patchday-Tuesdays warnt Microsoft vor Angriffen, die "mithilfe von unautorisierten Zertifikaten - abgeleitet von einer Microsoft Certificate Authority (CA) - durchgeführt werden können". Zwei digitale Zertifikate wurden vom Konzern jetzt entfernt.

Die Liste der betroffenen Systeme ist hier nachzulesen.

Flame

Das Problem steht auch in Verbindung des Spionagewurms Flame, schreibt Jonathan Ness von Microsoft in einem Blogeintrag. Demnach signierten die Flame-Entwickler ihren Code mit legitimen Microsoft-Zertifikaten.

Vorgehensweise

"Das Terminal Server Licensing Service nutzte einen alten kryptographischen Algorithmus und stellte Zeritifkate zur Verfügung, die das Signieren von Code ermöglichten", heißt es in der Warnung. Dadurch seien "man-in-the-middle"-Attacken, Spoofing und Phishing möglich.

Update

Microsoft hat bereits ein Update veröffentlicht, das so bald wie möglich einzuspielen ist. (red, derStandard.at, 4.6.2012)

Share if you care
2 Postings
Microsoft hat keine Schwachstellen!

Microsoft IST die Schwachstelle!

Ich beschwer mich ja auch nicht über einen kaputten Rückspiegel, wenn das Auto draufliegt!

Das Auto

liegt meist nicht auf Grund eines seit Jahrzehnten latenten Systemfehlers auf dem Rückspiegel...

Microsoft kann ja viele Lücken in Windows gar nicht schließen, weil sie längst von "legalen" Anwendungen ausgenützt werden und Softwarehersteller (u.A. Adobe) mit Milliardenschadenersatzklagen drohen, wenn sie fast ihre gesamte Produktpalette neu schreiben und den Usern selbstverständlich Gratisupdates verteilen müssen.

Die Kommentare von Usern und Userinnen geben nicht notwendigerweise die Meinung der Redaktion wieder. Die Redaktion behält sich vor, Kommentare, welche straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder sonst dem Ansehen des Mediums zuwiderlaufen (siehe ausführliche Forenregeln), zu entfernen. Der/Die Benutzer/in kann diesfalls keine Ansprüche stellen. Weiters behält sich die derStandard.at GmbH vor, Schadenersatzansprüche geltend zu machen und strafrechtlich relevante Tatbestände zur Anzeige zu bringen.