09.10.2009
Sicherheit
Falsches Paypal-Zertifikat narrt Browser
Autor: Dorothee Chlumsky
Im Internet ist ein gefälschtes SSL-Zertifikat aufgetaucht, das Safari, Chrome und Internet Explorer für echt halten. Damit lassen sich beispielsweise Online-Überweisungen per Paypal manipulieren.
Das gefälschte Zertifikat bezieht sich auf Paypal und nutzt eine Man-in-the-middle-Attacke, die bereits seit Juli dieses Jahres bekannt ist. Der Sicherheitsexperte Moxie Marlinspike hatte auf der Blackhat-Konferenz auf die SSL-Verwundbarkeit aufmerksam gemacht.
Wie Theregister berichtet, nutzt das nun aufgetauchte Zertifikat eine Lücke in CryptoAPI aus, ein Programmierinterface von Micorsoft. Internet Explorer, Google Chrome und Apple Safari greifen auf dieses Interface zurück und lassen sich falsche Zertifikate unterschieben. Kombinieren Angreifer die Lücke und nutzen den SSL-Angriff gemeinsam mit dem gefälschten Zertifikat, ist die Manipulation der Seiten für Surfer nicht erkennbar. Alle drei genannten Browser bieten keinen Schutz. Sie halten das gefälschte Zertifikat für echt. Wer mit IE; Safari oder Chrome auf SSL-geschützte Bereiche von Paypal surft, hat demnach keine Möglichkeit, zu prüfen, ob es sich um die echte Paypal-Seite handelt, bei der er gerade eine Rechnung bezahlt.
Microsoft hat die Lücke in der Crypto-Bibliothek, die ebenfalls seit Juli bekannt ist, bis heute nicht geschlossen. Das Unternehmen ließ aber wissen, man sei dabei, Maßnahmen zu ergreifen um die Kunden zu schützen.
Wer Paypal benutzt, sollte die Seite nicht mit IE, Safari oder Chrome ansurfen, solange Microsoft die Lücke nicht geschlossen hat. In Firefox tritt das Problem nicht auf. Auch Apple hat die Lücke in der Safari-Version für Mac-OS X geschlossen, kurz nachdem sie bekannt geworden war. In Safari für Windows jedoch existiert die Lücke immernoch.
Schellerer Ausbau
Hessen, OXG und Vodafone schließen Partnerschaft für Glasfaser
Vodafone und OXG starten gemeinsam mit dem Land Hessen eine umfangreiche Ausbau-Offensive für schnelles Internet. Bis 2030 wollen die Unternehmen Glasfaser-Anschlüsse für bis zu 520.000 Haushalte bauen.
>>
"Lass dich frei."
Apple mit Pencil- und iPad-Event im Mai
Unter dem Claim "Lass dich frei." oder "Let loose." hat Apple sein nächstes Event angekündigt. Konkret werden am 7. Mai um 16.00 Uhr neue Geräte vorgestellt.
>>
Zu viel der Ordnung
macOS 14: Schreibtisch beruhigen
Mit macOS 14 ‹Sonoma› wird automatisch eine Ordnungsfunktion aktiviert, die in den Wahnsinn führen kann. So wird sie abgeschaltet.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>