[MS/Windows][Mac/MS Office,Internet Explorer,Outlook Express] Schwachstelle bei der Validierung von Zertifikaten
(2002-11-24 14:02:42.636836+00)
Quelle:
http://cert.uni-stuttgart.de/archive/ms/2002/09/msg00001.htmlMicrosoft Windows Betriebssysteme sowie der Internet Explorer, Microsoft Office und Outlook Express für Mac OS weisen eine Schwachstelle bei der Überprüfung von Zertifikaten auf. Seit dem 20.11.2002 sind korrigierte Patches verfügbar.
Betroffene Systeme
- Microsoft Windows 98
- Microsoft Windows 98 Second Edition
- Microsoft Windows Me
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0, Terminal Server Edition
- Microsoft Windows 2000
- Microsoft Windows XP
- Microsoft Office 98, 2001 und v. X für Mac
- Microsoft Internet Explorer für Mac
- Microsoft Outlook Express für Mac
Einfallstor
- IPSEC-Verbindung
- signierte E-Mail
- Arglistige Webseite
- signierter Programmcode (Authenticode)
Auswirkung
- Unautorisierte Zertifikat-basierte Authentifizierung (z.B. bei IPSEC-Verbindungen oder Webserver-Authentifizierungen mittels Client-Zertifikaten).
- Fälschung von digitalen Signaturen (z.B. bei E-Mails).
- Fälschung von Webserver-Zertifikaten, wodurch arglistige Webseiten gültige SSL-Zertifikate für andere Webseiten vortäuschen können.
- Möglicherweise ist eine digitale Signierung von Programmcode (Authenticode) möglich.
Typ der Verwundbarkeit
fehlerhafte Überprüfung von Zertifikaten
Gefahrenpotential
hoch bis sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)
Beschreibung
Die Microsoft Windows Betriebssysteme sowie Microsoft Office, Internet Explorer und Outlook Express für Mac weisen eine Schwachstelle bei der Überprüfung von Zertifikaten auf. Angreifer sind dadurch in der Lage, Zertifikate dahingehend zu ändern, daß die betroffenen Produkte das manipulierte Zertifikat akzeptieren, obwohl es bei korrekter Überprüfung als ungültig eingestuft würde. Dadurch sind Angreifer in der Lage, unautorisiert Zertifikat-basierte Authentifizierungen vorzunehmen, Webserver-Zertifikate für gesicherte HTTPS-Verbindung vorzutäuschen oder E-Mails mit gefälschten Zertifikaten zu signieren.
Sowohl die CryptoAPI von Microsoft als auch die Implementierung von digitalen Zertifikaten in den Microsoft-Produkten für Mac OS überprüfen das "Basic Constraints"-Feld eines Zertifikates nicht. Dieses Feld definiert ob das Zertifikat eine Zertifikatsauthorität ist oder ein Endzertifikat, sowie die maximale Länge einer Zertifikatskette. Angreifer, die im Besitz eines gültigen Endzertifikates sind, können diese Schwachstelle dazu ausnutzen, dem betroffenen System ein gefälschtes Zertifikat unterzuschieben, indem sie selbst ein untergeordnetes Zertifikat erstellen, das vom System wie ein gültiges Zertifikat akzeptiert wird. Ein solches Zertifikat sollte vom System als nicht gültig, weil von einem nicht zur Zertifizierung zugelassenen Schlüssel (zum o.g. Endzertifikat gehörend) signiert, eingestuft werden.
Seit dem 20.11.2002 sind korrigierte Patches verfügbar, da auf Systemen, bei denen die zuerst verfügbaren Patches installiert wurden, Fehlermeldungen beim Installieren von neuer Hardware auftraten. Ferner beseitigen die nun verfügbaren Patches eine neu entdeckte Variante des Originalproblems.
Gegenmaßnahmen
Seit dem 20.11.2002 stellt Microsoft überarbeitete Patches zur Verfügung:
- Microsoft Windows 98:
http://www.microsoft.com/windows98/downloads/contents/WUCritical/q329115/default.asp - Windows 98 Second Edition:
http://www.microsoft.com/windows98/downloads/contents/WUCritical/q329115/default.asp - Windows Me:
Patch nur über Windows Update verfügbar. - Windows NT 4.0:
http://www.microsoft.com/ntserver/nts/downloads/critical/q329115/default.asp - Windows NT 4.0 Terminal Server Edition:
http://www.microsoft.com/ntserver/terminalserver/downloads/critical/q329115/default.asp - Windows 2000:
http://www.microsoft.com/windows2000/downloads/critical/q329115/default.asp - Windows XP und Windows XP 64 Bit Edition:
http://www.microsoft.com/windowsxp/pro/downloads/q329115.asp - Microsoft Office v.X für Mac:
http://www.microsoft.com/mac/download/security.asp - Microsoft Office 2001 für Mac:
http://www.microsoft.com/mac/download/security.asp - Microsoft Office 98 für Macintosh:
http://www.microsoft.com/mac/download/security.asp - Microsoft Internet Explorer für Mac (für OS 8.1 to 9.x):
http://www.microsoft.com/mac/download/security.asp - Microsoft Internet Explorer für Mac (für OS X):
http://www.microsoft.com/mac/download/security.asp - Microsoft Outlook Express 5.0.6 für Mac:
http://www.microsoft.com/mac/download/security.asp
Vulnerability ID
Weitere Information zu diesem Thema
- Microsoft Security Bulletin MS02-050 Certificate Validation Flaw Could Enable Identity Spoofing (Q328145)
- IE SSL Vulnerability (BUGTRAQ)
- Information about Reported Web Security Vulnerability (Microsoft)
- Internet X.509 Public Key Infrastructure Certificate and CRL Profile (RFC3280)
Revisionen dieser Meldung
- V.1.0 (2002-09-05)
- V.1.1 (2002-09-06) Patches für Windows 98/98SE und ME verfügbar
- V.1.2 (2002-09-10) Patches für Windows 2000 verfügbar (derzeit nur für die us-Version)
- V.1.3 (2002-09-16) dt. Patch für Windows 2000 verfügbar
- V.2.0 (2002-09-26) Internet Explorer 5.1.6 bzw. 5.2.2 für Mac OS verfügbar.
- V.3.0 (2002-11-24) Korrigierte Patches seit dem 20.11.2002 verfügbar
Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/
https://cert.uni-stuttgart.de/ticker/article.php?mid=951