Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-951

[MS/Windows][Mac/MS Office,Internet Explorer,Outlook Express] Schwachstelle bei der Validierung von Zertifikaten
(2002-11-24 14:02:42.636836+00)

Quelle: http://cert.uni-stuttgart.de/archive/ms/2002/09/msg00001.html

Microsoft Windows Betriebssysteme sowie der Internet Explorer, Microsoft Office und Outlook Express für Mac OS weisen eine Schwachstelle bei der Überprüfung von Zertifikaten auf. Seit dem 20.11.2002 sind korrigierte Patches verfügbar.

Betroffene Systeme

Einfallstor

Auswirkung

Typ der Verwundbarkeit
fehlerhafte Überprüfung von Zertifikaten

Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die Microsoft Windows Betriebssysteme sowie Microsoft Office, Internet Explorer und Outlook Express für Mac weisen eine Schwachstelle bei der Überprüfung von Zertifikaten auf. Angreifer sind dadurch in der Lage, Zertifikate dahingehend zu ändern, daß die betroffenen Produkte das manipulierte Zertifikat akzeptieren, obwohl es bei korrekter Überprüfung als ungültig eingestuft würde. Dadurch sind Angreifer in der Lage, unautorisiert Zertifikat-basierte Authentifizierungen vorzunehmen, Webserver-Zertifikate für gesicherte HTTPS-Verbindung vorzutäuschen oder E-Mails mit gefälschten Zertifikaten zu signieren.

Sowohl die CryptoAPI von Microsoft als auch die Implementierung von digitalen Zertifikaten in den Microsoft-Produkten für Mac OS überprüfen das "Basic Constraints"-Feld eines Zertifikates nicht. Dieses Feld definiert ob das Zertifikat eine Zertifikatsauthorität ist oder ein Endzertifikat, sowie die maximale Länge einer Zertifikatskette. Angreifer, die im Besitz eines gültigen Endzertifikates sind, können diese Schwachstelle dazu ausnutzen, dem betroffenen System ein gefälschtes Zertifikat unterzuschieben, indem sie selbst ein untergeordnetes Zertifikat erstellen, das vom System wie ein gültiges Zertifikat akzeptiert wird. Ein solches Zertifikat sollte vom System als nicht gültig, weil von einem nicht zur Zertifizierung zugelassenen Schlüssel (zum o.g. Endzertifikat gehörend) signiert, eingestuft werden.

Seit dem 20.11.2002 sind korrigierte Patches verfügbar, da auf Systemen, bei denen die zuerst verfügbaren Patches installiert wurden, Fehlermeldungen beim Installieren von neuer Hardware auftraten. Ferner beseitigen die nun verfügbaren Patches eine neu entdeckte Variante des Originalproblems.

Gegenmaßnahmen
Seit dem 20.11.2002 stellt Microsoft überarbeitete Patches zur Verfügung:

Vulnerability ID

Weitere Information zu diesem Thema

Revisionen dieser Meldung

(tf)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=951