Mozilla mit Zertifikatsproblemen
Der Schweizer Marcel Boesch hat im Rahmen seiner Diplomarbeit ein Problem in der Zertifikatsbehandlung durch Mozilla entdeckt, das dazu führen kann, dass der Anwender keine gesicherte Verbindung zu bestimmten Seiten mehr herstellen kann.
Der Schweizer Marcel Boesch hat im Rahmen seiner Diplomarbeit ein Problem in der Zertifikatsbehandlung durch Mozilla entdeckt, das dazu führen kann, dass der Anwender keine gesicherte Verbindung zu bestimmten Seiten mehr herstellen kann.
So kann ein Angreifer eine speziell präparierte E-Mail an sein Opfer schicken, die ein Zertifikat für eine Certification Authority (CA) enthält. Hat der Dateianhang den MIME-Typ "application/x-x509-email-cert", importiert Mozilla das Zertifikat, ohne dem Anwender eine Import-Dialogbox anzuzeigen. Trägt die gefälschte CA denselben Distinguished Name (DN) wie eine existierende, erhält Anwender dann beim Aufruf von bestimmten HTTPS-URLs eine Meldung über ungültige Zertifikate (error -8182). Der automatische CA-Import lässt sich auch auf Web-Seiten auslösen.
Das Problem betriftt Mozilla-Versionen bis hin zu 1.7.x und auch Firefox.
Siehe dazu auch: (ju)
- Erläuterungen von Marcel Boesch
- Bugzilla Bug Report
