Microsoft spielt SSL-Bug herunter

Microsoft hat den von Programmierer Mike Benham kürzlich entdeckten SSL-Bug im Internet Explorer anerkannt, beschwichtigt aber die Anwender: Das für den Fehler Bug nötige Angriffs-Szenario sei äußerst unwahrscheinlich.

Der Bug führt dazu, dass der Browser nicht in der Lage ist, digitale Site-Zertifikate bestimmter Subunternehmer von großen Anbietern wie Verisign zu überprüfen. Microsoft spielt die Bedeutung des Fehlers nun herunter, berichtet die PC Welt.

Nach Angaben aus Redmond würde das Angriffs-Szenario voraussetzen, dass der Angreifer die Internet-Infrastruktur des Anwenders modifizieren könnte. Dies wäre sehr aufwändig und nur von zeitlich begrenzter Dauer. Zudem könnte die Identität des Crackers sehr leicht herausgefunden werden, da er Besitzer eines gültigen Zertifikats für eine Website sein müsste. Um an dieses zu gelangen, verlangen die "Certificate Authorities" umfangreiche Identitätsnachweise. Die Strafverfolgungsbehörden hätten somit gute Chancen, dem Angreifer auf die Spur zu kommen.

Trotz der Einwände wird bei Microsoft an einem Patch gebastelt, der zusammen mit einem Security Bulletin veröffentlicht wird. Wann es soweit ist, ist allerdings noch unklar. (PC Welt/uba)