09.10.2009, 00:00 Uhr
Manipulierte Zertifikate: Browser-Sicherheitsleck bei SSL-Verbindungen
Die Browser Internet Explorer, Google Chrome und auch frühere Versionen von Safari haben eines gemeinsam: Ein grosses Sicherheitsleck, das sich mit gefälschten SSL-Zertifikaten ausnutzen lässt. Alle Browser benutzen die Microsoft-Bibliothek für Sicherheitszertifikate der Programmierschnittstelle CryptoAPI, die entsprechende Angriffe nicht verhindert. Mittels eines Phishing-Verfahrens können Hacker Benutzer auf eine scheinbar bekannte Seite mit manipuliertem Zertifikat leiten - der Hacker Moxie Marlinspike präsentierte das Sicherheitsleck auf der Black-Hat-Sicherheitskonferenz in Las Vegas anhand der Seite des Bezahlservices PayPal. Das Problem ist, dass CryptoAPI Zeichenketten eines Zertifikats nur bis zu einer Null liest - weitere, unbekannte Domains, die darauf folgen, ignorieren die Browser dann. Wer glaubt, eine Transaktion über PayPal abzuschliessen, könnte in Wirklichkeit seine Daten an einen Hacker weitergeben. Sicher gegen entsprechende Angriffe sind Benutzer, die mit Firefox oder Opera im Netz unterwegs sind. (ph/macup)