|
<<
^
>>
Date: 2001-03-23
Digisignatur von Microsoft geklaut
-.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.-
Unbekannte sind seit Wochen im Besitz zweier Zertifikate
mit echten Signaturen von Microsoft und Verisign | Viren
können damit als echte MS-Programme deklariert werden |
Zertifikate tragen Datum 30. und 31. Jänner | "Verisign hat
königliche Scheiße gebaut", sagt Russ Cooper update vor
0min
Wie in der Nacht auf heute bekannt wurde, haben
Unbekannte, die sich als Mitarbeiter von Microsoft ausgaben,
vom Marktführer für digitale Signaturen, Verisign, irrtümlich
mindestens zwei Zertifikate erhalten, die durch einen
Originalschlüssel von Microsoft autorisiert sind.
Diese so genannten Class3-Digital-Certificates werden dazu
benutzt, um Active X Controls, Makros und andere
Programme zu signieren.
Damit soll sichergestellt werden, dass ein zum Beispiel via
WWW übermitteltes Programm tatsächlich von Microsoft und
nicht etwa von unbekannten Dritten stammt.
Viren als MS-Programme Bereits seit Ende Jänner sind zwei
Zertifikate im Umlauf, die etwa Viren oder Trojanern
bescheinigen können, originale MS-Programme zu sein -
unter der Bürgschaft Verisigns, gezeichnet durch einen
echten Key von Microsoft. Die Warnung von CERT
Grundsätzliche Dialogbox
Nur eine Dialogbox, in der von allgemeinen Chancen und
Risiken digitaler Zertifikate die Rede ist, muss vor dem
Installationsvorgang geklickt werden.
Zu bestätigen ist nur, dass man von Microsoft signierten
Zertifikaten grundsätzlich traut.
Patch in Arbeit Wozu die beiden mit 30. und 31. Jänner 2001
datierten Zertifikate bereits benutzt wurden, ist unbekannt,
ein Patch von Microsoft ist nach Angaben aus Redmond in
Arbeit. MS Security Bulletin
"Königliche Scheiße"
Was Verisign angeht, so wurde nicht nur bei Ausgabe der
Zertifikate an angebliche Mitarbeiter von Microsoft
geschlampt.
Der Weltmarktführer bei digitalen Signaturen hat in seine
Zertifikate keinen automatischen Rückcheck eingebaut, ob
diese überhaupt noch gültig sind.
Wer prüft schon vor der Software-Installation von MS signierte
Verisign-Zertifikate manuell noch einmal nach? Das fragt sich
nicht nur Russ Cooper, Moderator der bekannten NTbugtraq-
Mailing-List, der den Fall mit "Verisign hat königliche
Scheiße gebaut" zusammenfasst.
Source
http://futurezone.orf.at/futurezone.orf?read=detail&id=61409
-.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.-
- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.-
edited by Harkank
published on: 2001-03-23
comments to office@quintessenz.at
subscribe Newsletter
- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.- -.-. --.-
<<
^
>>
|
|
|
|