Windows Me Bugreport
Neu: Gefälschte VeriSign-Zertifikate
VeriSign hat Ende Januar 2001 zwei auf "Microsoft Corporation" ausgestellte digitale Class-3-Zertifikate an einen vermeintlichen Microsoft-Angestellten ausgegeben. Wer den zur Authentifizierung von ausführbaren Programmen beim Download vorgesehenen Zertifikaten vertraut, öffnet Angreifern Tür und Tor.
Die VeriSign-Zertifikate lassen sich benutzen, um Programme, ActiveX-Controls, Office-Makros und ähnlichen ausführbaren Code zu signieren. Vor allem ActiveX und Makros stellen eine besondere Gefahr dar, warnt Microsoft.
Das Update enthält eine Liste zurückgezogener Schlüssel, in der die fraglichen Zertifikate als ungültig aufgeführt sind. Alternativ sollten Benutzer die Annahme von Zertifikaten verweigern, die das Datum des 29. oder 30. Januar 2001 tragen. An diesen Tagen wurden die falschen Digital-IDs ausgegeben. Dagegen wurden an keinem der beiden Tage Zertifikate für Microsoft selbst ausgestellt.
Datum | 22.03.2001 |
|---|---|
| |
Betrifft | Windows 9x, Me, NT, 2000 |
Wirkung | Angriffe durch vermeintlich von Microsoft signierte Programme |
Patch | |
Abhilfe | Patch installieren |
Informationen |