Falsches Paypal-Zertifikat narrt Browser

Das gefälschte Zertifikat bezieht sich auf Paypal und nutzt eine Man-in-the-middle-Attacke, die bereits seit Juli dieses Jahres bekannt ist. Der Sicherheitsexperte Moxie Marlinspike hatte auf der Blackhat-Konferenz auf die SSL-Verwundbarkeit aufmerksam gemacht.

Wie Theregister berichtet, nutzt das nun aufgetauchte Zertifikat eine Lücke in CryptoAPI aus, ein Programmierinterface von Micorsoft. Internet Explorer, Google Chrome und Apple Safari greifen auf dieses Interface zurück und lassen sich falsche Zertifikate unterschieben. Kombinieren Angreifer die Lücke und nutzen den SSL-Angriff gemeinsam mit dem gefälschten Zertifikat, ist die Manipulation der Seiten für Surfer nicht erkennbar. Alle drei genannten Browser bieten keinen Schutz. Sie halten das gefälschte Zertifikat für echt. Wer mit IE; Safari oder Chrome auf SSL-geschützte Bereiche von Paypal surft, hat demnach keine Möglichkeit, zu prüfen, ob es sich um die echte Paypal-Seite handelt, bei der er gerade eine Rechnung bezahlt.

Microsoft hat die Lücke in der Crypto-Bibliothek, die ebenfalls seit Juli bekannt ist, bis heute nicht geschlossen. Das Unternehmen ließ aber wissen, man sei dabei, Maßnahmen zu ergreifen um die Kunden zu schützen.

Wer Paypal benutzt, sollte die Seite nicht mit IE, Safari oder Chrome ansurfen, solange Microsoft die Lücke nicht geschlossen hat. In Firefox tritt das Problem nicht auf. Auch Apple hat die Lücke in der Safari-Version für Mac-OS X geschlossen, kurz nachdem sie bekannt geworden war. In Safari für Windows jedoch existiert die Lücke immernoch.