Thunderbird 2.0.0.23 behebt SSL-Schwachstelle
Die Version behebt eine Schwachstelle in der Verarbeitung von SSL-Zertifikaten, mit der Angreifer Zertifikate für vertrauenswürdige Seiten vortäuschen können.
- Daniel Bachfeld
Die Mozilla Foundation hat nun auch Thunderbird in einer Version vorgelegt, in der eine Schwachstelle in der Verarbeitung von SSL-Zertifikaten behoben ist. Durch das Einfügen von Nullzeichen in Zertifikaten denken einige Anwendungen, dass etwa das auf www.paypal.com\0.thoughtcrime.org ausgestellte Zertifikat zu www.paypal.com gehört.
Details zu den Lücken hatten Moxie Marlinspike und Dan Kaminsky auf ihren Black-Hat-Vorträgen enthüllt. In Firefox 3.5.x und 3.0.x sind die Lücken bereits seit mehr als zwei Wochen geschlossen. Andere Softwarehersteller arbeiten unterdessen immer noch an Updates für ihre Produkte.
Siehe dazu auch:
- Compromise of SSL-protected communication, Bericht der Mozilla Foundation
- Firefox 3.5.2 und 3.0.13 schließen Sicherheitslücken
- Neue SSL-Attacken demonstriert
(dab)