RSS Kanäle | Diskussionen | Umfragen | Site Map




Alle Bedrohungen

Viren

Hacker

Spam
Alle Seiten    Viren
  
Virus Enzyklopädie
Alarme
Analysen
Nachrichten
Glossar
Weblog

 
Kalender

<< 2009  
Jan Feb Mär
Apr Mai Jun
Jul Aug Sep
Okt Nov  
Most Popular News

Sex-Video von Gina-Lisa lockt in Viren-Falle



Michael Jackson Single Titel This Is It wird zur Malware missbraucht



Zero-Day-Lücke in Windows 7



Legten Hacker Brasiliens Stromnetz lahm?



Kritische Lücke im Adobe Reader, noch kein Patch
 
Für potentielle Autoren

Möchten Sie einer unserer Autoren werden und Ihre Texte auf der Viruslist.com lesen? Setzen Sie sich mit uns in Verbindung!

 		 

  Home / Nachrichten

Gefälschtes PayPal-Zertifikat täuscht IE, Chrome und Safari

7.10.2009 18:02 MSK   |   Ihr Kommentar

Ein auf der Sicherheitsmailing-Liste Full Disclosure veröffentlichtes SSL-Trickzertifikat für www.paypal.com und der dazugehörige private Schlüssel dürften Microsoft, Google und Apple in Zugzwang bringen, nun endlich Updates zum Beseitigen der NULL-Prefix-Schwachstelle zu veröffentlichen. Phisher können das Zertifikat etwa für Phishing-Angriffe ausnutzen und ihren Server als legitimen Bankserver ausgeben – was erst bei genauerer Prüfung des Zertifikats auffliegen würde. Aber auch Man-in-the-Middle-Angriffe im LAN funktionieren damit problemlos.

Durch Einfügen eines Nullzeichens in den Common Name des Zertifikats lesen verwundbare Browser die Zeichenkette nur bis zum Erreichen dieses Zeichens, obwohl das Zertifikat eigentlich für eine andere Domain ausgestellt ist. Der Browser glaubt im vorliegenden Fall, ein gültiges Zertifikat für www.paypal.com zu erkennen. Die Lücke ist seit mehreren Wochen in diversen Browsern bekannt. Bislang fallen von den populären Browsern nur Firefox und Opera nicht auf den Trick herein.

Zwar ist der Internet Explorer grundsätzlich verwundbar für die manipulierten Zertifikate, in den Versionen 7 und 8 warnt der Browser dennoch, weil das Zertifikat mittlerweile vom ausstellenden Trustcenter IPS CA zurückgezogen wurde. Da der Microsoft-Browser die Revocation-Liste dieses Trustcenter prüft, verweigert er den Aufbau der Seite. Ist die standardmäßig aktivierte Prüfung aus irgendeinem Grund jedoch deaktiviert, akzeptiert der Browser das Zertifikat. Auf die Prüfung sollte man sich aber nicht blind verlassen, insbesondere bei Angriffen auf SSL im Intranet: Moxie Marlinspikes hat im Juli einen Weg beschrieben, wie man die Online-Prüfung der Revocation-Liste aushebeln kann.

Erst wenn in Google Chrome die Gültigkeitsprüfung der Serverzertifikate aktiviert ist, warnt der Browser.

Die aktuellen Versionen von Chrome 3.x und Safari 4.x akzeptieren das Zertifikat indes ohne Murren und ohne Fehlermeldung, da die Abfrage der Revocation-Liste standardmäßig deaktiviert ist. Bei Chrome lässt sich die Prüfung unter "Optionen/Details/Sicherheit/Sperrung des Serverzertifikats" anschalten.

Bereits vergangene Woche hatte der Hacker Jacob Appelbaum ein Zertifikat veröffentlicht, das für beliebige Domains funktioniert und in verwundbaren Browsern keine Fehlermeldung produziert. Der Internet Explorer warnte aber auch vor diesem Zertifikat, weil er die Wildcard-Angabe im Zertifikat nicht unterstützt.
Quelle:
heise online
 

Copyright © 1996 - 2009
Kaspersky Lab
Industry Leading Antivirus Software
Alle Rechte vorbehalten
 

Email: webmaster@kaspersky.com