Microsoft-Patch verhindert Verschlüsselung des Internet Explorer
Der jüngst im Security Bulletin MS04-011 empfohlene Sammelpatch -- zum Stopfen mehrere Sicherheitslücken in Windows -- macht die die SSL-Verschlüsselung des Internet Explorer unbrauchbar.
Auf der Sicherheitsmailingliste Full Disclosure gibt es mehrere Postings, die darauf hinweisen, dass der jüngst im Security Bulletin MS04-011 empfohlene Sammelpatch -- zum Stopfen mehrerer Sicherheitslücken in Windows -- die SSL-Verschlüsselung des Internet Explorer 6 unbrauchbar macht. In der Folge kann der Browser nicht mehr mit SSL-gesicherten Servern (https://) kommunizieren, da die Verschlüsselungsstärke nur mit 0 Bit verfügbar ist anstatt der nötigen 128 Bit.
Den Meldungen nach soll aber nur Windows Server 2003 von dem Problem betroffen sein. Der Knowledge Base Artikel 261328 widmet sich dem Problem, das in der Vergangenheit bereits unter Windows 95, 98 und ME aufgetreten ist. Die dort aufgeführte Lösung funktioniert allerdings nicht unter Windows Server 2003. Abhilfe schafft derzeit nur die De-Installation des kumulativen Patches. Allerdings bleiben dann 14 -- teilweise kritische -- Sicherheitslücken offen. Alternativ können Anwender auf andere Browser, etwa Mozilla oder Opera, zurückgreifen.
Auf Bugtraq ist derweil ein Proof-of-Concept-Exploit für die SSL-Sicherheitslücke unter Windows erschienen. Auf nicht gepatchte Rechner angewandt soll der Exploit zum Absturz des Systems führen. Insbesondere Microsofts Internet Information Server dürfte nun verstärktem Beschuss aus dem Internet ausgesetzt sein. Administratoren sollten, sofern noch nicht geschehen, den Patch aus MS04-011 installieren -- auch wenn das System Windows Server 2003 heißt.
Siehe dazu auch: (dab)
- Security Advisory auf Full Disclosure
