Gelöschte SSL-Zertifikate durch Sicherheitsloch in ActiveX

Alle Windows-Versionen weisen eine Sicherheitslücke auf, durch die Angreifer SSL-Zertifikate, auch für Trusted Root und EFS, löschen können -- Microsoft stellt einen Patch bereit.

In Pocket speichern vorlesen Druckansicht 274 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Patrick Brauch

Laut einem aktuellen Security-Bulletin von Microsoft weisen alle Windows-Versionen eine Sicherheitslücke auf, durch die Angreifer SSL-Zertifikate löschen können. Das Problem besteht im ActiveX-Steuerelement Certificate Enrollment Control.

Das Control enthält laut Microsoft einen Fehler, "der es einer Webseite durch einen sehr komplexen Prozess ermöglichen kann, ein Steuerelement so auszuführen, dass Zertifikate auf dem System des Benutzers gelöscht werden". Dadurch können Zertifikate für die Verschlüsselung der Datenübertragung per SSL zerstört, aber auch durch die Löschung von Trusted-Root- und EFS-Verschlüsselungszertifikaten die entsprechenden Funktionen unbrauchbar werden.

Microsoft stuft das Sicherheitsloch als kritisch ein und empfiehlt allen Windows-Nutzern dringend, die bereitgestellten Patches einzuspielen. Sie enthalten eine neue Version des ActiveX-Controls. (pab)