27.04.2011
Sicherheit
Microsoft warnt vor falschen Zertifikaten
Autor: Dorothee Chlumsky
Microsoft warnt seine Kunden davor, auf gefälschte digitale Zertifikate hereinzufallen. Browser nutzen die Zertifikate, um die Echtheit einer Webseite zu prüfen. Im März waren bei einem Einbruch bei der Zertifikats-Autorität Comodo mehrere Zertifikate für zentrale Webseiten gestohlen worden.
Von dem Einbruch betroffen waren beispielsweise Zertifikate von www.google.com oder login.yahoo.com. Eines der gestohlenen Zertifikate war für die Login-Seite des Microsoft-Dienstes live.com ausgestellt. Die Einbrecher, die die Zertifikate in ihren Besitz gebracht haben, können sie beispielsweise nutzen, um Phishing-, Spoofing- oder Man-in-the-middle-Angriffe auf Surfer zu führen. So ist es möglich, einer alten Version eines Browsers eine Phishing-Seite zu präsentieren. Fragt der Browser nach dem Zertifikat, zeigt die manipulierte Webseite ihm das gestohlene digitale Dokument. Der Browser hält daraufhin die Seite für echt und kann den Nutzer nicht davor warnen, dass er gerade eine manipulierte Webseite besucht - und dort etwa seine Bankdaten oder andere Vertraulichkeiten eingibt.
Die bestohlene Zertifikatsautorität Comodo hat die kompromittierten Zertifikate zurückgerufen und für ungültig erklärt. Nun ist es an den Software-Herstellern, ihren Programmen beizubringen, dass sie den gestohlenen Zertifikaten nicht mehr vertrauen dürfen. Mozilla hatte das Problem mit dem Update auf Firefox 3.6.16 gelöst. Microsoft hatte mit dem April-Patchday auch Internet Explorer und seine Betriebssysteme auf den neuen Stand gebracht. Nun legen die Redmonder auch für die mobilen Geräte nach: Das Unternehmen hat den Sicherheitshinweis auf Geräte erweitert, die mit Windows Mobile 6.x, Windows Phone 7, Microsoft Kin oder Zune laufen.
Schützen Sie sich vor falschen Zertifikaten und installieren Sie stets die jeweils aktuellen Versionen für Ihr Betriebssystem und Ihren Browser.
Bildbearbeitungs-Tipps
Das neue Paint - Das kann es inklusive KI-Funktionen
Microsoft hat seine altehrwürdige Bildbearbeitungs-Software Paint generalüberholt. Wir erklären die neuen Funktionen und was Sie damit anstellen können.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>
Glasfasernetz
GlobalConnect stellt B2C-Geschäft in Deutschland ein
Der Glasfaseranbieter GlobalConnect will sich in Deutschland künftig auf das B2B- und das Carrier-Geschäft konzentrieren und stoppt die Gewinnung von Privatkunden mit Internet- und Telefonanschlüssen.
>>
WebGPU
Sicherheitslücke in Browser-Schnittstelle erlaubt Rechnerzugriff via Grafikkarte
Forschende der TU Graz waren über die Browser-Schnittstelle WebGPU mit drei verschiedenen Seitenkanal-Angriffen auf Grafikkarten erfolgreich. Die Angriffe gingen schnell genug, um bei normalem Surfverhalten zu gelingen.
>>