SSL-Lücke in IE und Konqueror

Microsofts Internet Explorer hat Probleme beim Überprüfen von SSL-Zertifikaten. Laut einem Beitrag in der Mailingliste Bugtraq unterscheidet der IE nicht zwischen lokalen Zertifikaten und solchen von zentralen Authentifizierungsdiensten. Der Linux-Brwoser Konqueror soll ebenfalls betroffen sein.

Wie Mike Benham, Entdecker der Lücke, in seinem Beitrag bei Bugtraq schreibt, könnte jeder, der ein SSL-Zertifkat von eine Certification Authority wie VeriSign erwirbt, sich den Fehler im IE ab Version 5 zunutze machen.

Im Sinne des Erfinders von SSL-Zertifikaten sollte eine "Man-in-the-middle"-Attacke bei der Zertifizierung ausgeschlossen sein. Allerdings gibt es für die Zertifikate auch untergeordnete Instanzen, so genannte "Intermediate Certification Authorities". Das heißt, die offizielle Zertifizierungsstelle beglaubigt eine Zwischeninstanz.

Empfängt ein Browser das Zertifikat einer solchen Intermediate-Instanz, sollte er prüfen, ob die Basisdaten stimmen. Das aber, so hat Mike Benham herausgefunden, tut der Internet Explorer nicht. Laut Benham öffnet sich damit die fatale Möglichkeit, dass jede Webseite mit einem gültigen Zertifikat ein solches für eine beliebige Webseite ausstellen kann. Benham hat dies mit dem Zertifkat für seine Webseite (thoughtcrime.org) aus Demonstrationsgründen für den Online-Händler Amazon.com getan.

Laut dem britischen Newsdienst "The Register" ist nicht nur der Internet Explorer betroffen. Auch der Linux-Browser Konqueror soll die Lücke aufweisen, heißt es in dieser Meldung. (uba)