Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-951

[MS/Windows][Mac/MS Office,Internet Explorer,Outlook Express] Schwachstelle bei der Validierung von Zertifikaten
(2002-11-24 14:02:42.636836+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/ms/2002/09/msg00001.html

Microsoft Windows Betriebssysteme sowie der Internet Explorer, Microsoft Office und Outlook Express für Mac OS weisen eine Schwachstelle bei der Überprüfung von Zertifikaten auf. Seit dem 20.11.2002 sind korrigierte Patches verfügbar.

Betroffene Systeme

  • Microsoft Windows 98
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows Me
  • Microsoft Windows NT 4.0
  • Microsoft Windows NT 4.0, Terminal Server Edition
  • Microsoft Windows 2000
  • Microsoft Windows XP
  • Microsoft Office 98, 2001 und v. X für Mac
  • Microsoft Internet Explorer für Mac
  • Microsoft Outlook Express für Mac

Einfallstor

  • IPSEC-Verbindung
  • signierte E-Mail
  • Arglistige Webseite
  • signierter Programmcode (Authenticode)

Auswirkung

  • Unautorisierte Zertifikat-basierte Authentifizierung (z.B. bei IPSEC-Verbindungen oder Webserver-Authentifizierungen mittels Client-Zertifikaten).
  • Fälschung von digitalen Signaturen (z.B. bei E-Mails).
  • Fälschung von Webserver-Zertifikaten, wodurch arglistige Webseiten gültige SSL-Zertifikate für andere Webseiten vortäuschen können.
  • Möglicherweise ist eine digitale Signierung von Programmcode (Authenticode) möglich.

Typ der Verwundbarkeit
fehlerhafte Überprüfung von Zertifikaten

Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die Microsoft Windows Betriebssysteme sowie Microsoft Office, Internet Explorer und Outlook Express für Mac weisen eine Schwachstelle bei der Überprüfung von Zertifikaten auf. Angreifer sind dadurch in der Lage, Zertifikate dahingehend zu ändern, daß die betroffenen Produkte das manipulierte Zertifikat akzeptieren, obwohl es bei korrekter Überprüfung als ungültig eingestuft würde. Dadurch sind Angreifer in der Lage, unautorisiert Zertifikat-basierte Authentifizierungen vorzunehmen, Webserver-Zertifikate für gesicherte HTTPS-Verbindung vorzutäuschen oder E-Mails mit gefälschten Zertifikaten zu signieren.

Sowohl die CryptoAPI von Microsoft als auch die Implementierung von digitalen Zertifikaten in den Microsoft-Produkten für Mac OS überprüfen das "Basic Constraints"-Feld eines Zertifikates nicht. Dieses Feld definiert ob das Zertifikat eine Zertifikatsauthorität ist oder ein Endzertifikat, sowie die maximale Länge einer Zertifikatskette. Angreifer, die im Besitz eines gültigen Endzertifikates sind, können diese Schwachstelle dazu ausnutzen, dem betroffenen System ein gefälschtes Zertifikat unterzuschieben, indem sie selbst ein untergeordnetes Zertifikat erstellen, das vom System wie ein gültiges Zertifikat akzeptiert wird. Ein solches Zertifikat sollte vom System als nicht gültig, weil von einem nicht zur Zertifizierung zugelassenen Schlüssel (zum o.g. Endzertifikat gehörend) signiert, eingestuft werden.

Seit dem 20.11.2002 sind korrigierte Patches verfügbar, da auf Systemen, bei denen die zuerst verfügbaren Patches installiert wurden, Fehlermeldungen beim Installieren von neuer Hardware auftraten. Ferner beseitigen die nun verfügbaren Patches eine neu entdeckte Variante des Originalproblems.

Gegenmaßnahmen
Seit dem 20.11.2002 stellt Microsoft überarbeitete Patches zur Verfügung:

Vulnerability ID

Weitere Information zu diesem Thema

Revisionen dieser Meldung

  • V.1.0 (2002-09-05)
  • V.1.1 (2002-09-06) Patches für Windows 98/98SE und ME verfügbar
  • V.1.2 (2002-09-10) Patches für Windows 2000 verfügbar (derzeit nur für die us-Version)
  • V.1.3 (2002-09-16) dt. Patch für Windows 2000 verfügbar
  • V.2.0 (2002-09-26) Internet Explorer 5.1.6 bzw. 5.2.2 für Mac OS verfügbar.
  • V.3.0 (2002-11-24) Korrigierte Patches seit dem 20.11.2002 verfügbar

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.