Ein Sicherheitsloch in Microsofts Web-Browser Internet Explorer macht jede sicher geglaubte Secure Sockets Layer (SSL)-Verbindung unsicher. Das Problem ist laut dem Experten Mike Benham, dass der Browser die Zertifikate nicht auf Echtheit prüft.
So könnte jeder Domain-Inhaber eines signierten Zertifikats auch ein solches für eine fremde URL generieren. Der User könne nicht sicher sein, dass das Zertifikat authentisch sei.
„Durch das Ausnutzen dieses trivialen Tricks lässt sich eine sichere Website dem User vorgaukeln. Werden dann auch noch Datenpakete entführt, ist ein ‚Man-in-the-middle-Angriff‘ durchaus durchführbar. Durch diesen Bug wird der ganze Sinn eines SSL-Zertifikats zunichte gemacht“, konstatiert Benham. Unter einer Man-In-The-Middle-Attacke versteht man, wenn sich ein Rechner auf der „Route“ zum Zielrechner als dieser maskiert. Die Gefahr besteht darin, diesem Rechner nun zu glauben, und sicherheitsrelevante Daten wie Anmeldeinformation anzuvertrauen.
Von dem Problem ist laut Benham der Internet Explorer 5 und 5.5 komplett betroffen. Unter den meisten Umständen sei auch die Version 6.0 des Browsers verwundbar.
Microsoft untersucht derzeit die Angaben von dem Sicherheitsexperten. Der Redmonder Konzern meinte in einer kurzen schriftlichen Stellungnahme nur, dass so ein Angriff „technisch sehr schwierig, zeitbegrenzt und einen hohen Grad an Netzwerk-Kenntnissen“ erfordere.
Der Software-Hersteller zeigte unterdessen keine Anzeichen, für das Problem einen Bugfix herauszugeben und bezeichnete das Veröffentlichen des Bugs von Benham als unverantwortlich.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…