Microsoft veröffentlicht weitere Patches für SSL-Sicherheitslücke

Microsoft hat für weitere Systeme Korrekturen veröffentlicht, die die Sicherheitslücke bei digitalen Zertifikaten für SSL beheben. Nach Windows XP und NT 4.0 stehen die Fehlerkorrekturen nun auch für Windows 98, 98 SE und Windows ME bereit. Die Patches für Windows 2000 sowie die Mac-OS-Software Office v.X, Office 2001, Office 98, Internet Explorer (für Mac OS 8.1, 9.x, OS X) sowie Outlook Express für Mac OS sollen ebenfalls in Kürze folgen. Die Bugfixes für Windows XP gibt es derweil auch in diversen Landessprachen, darunter in Deutsch.

Das Leck ermöglicht es, Microsoft-Anwendungen wie Outlook oder dem Internet Explorer falsche digitale Zertifikate unterzujubeln. Bei SSL-Zertifikaten ist es möglich, so genannte "Intermediate Certification Authorities" zu verwenden. Dabei wird das Zertifikat einer Website nicht direkt von einer Certification Authority (CA) wie beispielsweise Verisign signiert, sondern von einer lokalen CA. In diesem Fall sollte der Browser nicht nur überprüfen, ob die Domains zu dem Zertifikat passen, sondern ebenso die Beschränkungen der lokalen CA -- doch genau dies geschieht nicht. Dadurch ist es möglich mit einem gültigen, lokalen CA-Zertifikat für eine beliebige Domain weitere Zertifikate für beliebige andere Domains auszustellen. Ursprünglich hatte der Sicherheitsexperte Mike Benham das Problem beim Internet Explorer entdeckt und später nachgewiesen, dass es auch bei Outlook vorhanden ist. Microsoft selbst erklärte, dass die Lücke auch bei Office, Internet Explorer und Outlook Express unter Mac OS existiert. (jk)