Zu computerwoche.de

Angriff per SSL-Zertifikat

Neue Lücken in Firefox und Seamonkey entdeckt

Auf der Black Hat 2009 US berichten Experten von einer neuen Attacke, um per manipulierten SSL-Zertifikat Schadcode in eine Anwendung einzuspeisen.

Laut einer Meldung von Security Focus sind folgenden Anwendungen betroffen:

Firefox (bis einschließlich 3.0.12)
Seamonkey (bis einschließlich 1.0.8)

Nicht betroffen ist die neuste Firefox Generation Version 3.5.x. Die Sicherheitslücke erlaubt einem Angreifer mittels manipulierten SSL-Zertifikaten das Auslösen eines Heap-basierten Pufferüberlaufs. Es besteht daher die Chance, dass Code in ein betroffenes System eingespeist wird. Für beide Anwendungen stehen bereits Updates zu Verfügung. (vgw)