Microsoft reagiert auf aktuelle Medienberichte, die sich mit einer angeblichen Sicherheitslücke im Microsoft Internet Explorer befassen, und prüft die beschriebenen Behauptungen. In einem Artikel im Wall Street Journal war über eine mögliche Schwachstelle des Internet Explorer im Zusammenhang mit SSL-Zertifizierungen berichtet worden. Nach dem jetzigen Erkenntnisstand stellt das beschriebene Szenario in der Realität allerdings nur unter äußert unwahrscheinlichen Umständen eine Gefahr für die Datensicherheit der Anwender dar.
Derzeit befasst sich das Microsoft Security Response Center mit der Untersuchung der Behauptungen - ein endgültiges Ergebnis liegt allerdings noch nicht vor. Sobald die Prüfung abgeschlossen ist und alle Fakten vorliegen, werden die notwendigen Schritte eingeleitet, um Kunden vor möglichen Risiken zu schützen. Nach dem jetzigen Stand der Untersuchung steht aber bereits fest: Das vom Autor aufgezeigte Szenario ist aus mehreren Gründen nur äußerst schwierig zu realisieren:
Um die Schwachstelle zu nutzen, müsste ein Angreifer in der Lage sein, die Internet-Infrastruktur, in der sich der Anwender bewegt, zu manipulieren. Dieses Vorgehen ist technisch aufwändig, nur in einem begrenzten Zeitraum und nur bei einer für den Angreifer äußerst günstigen Netzwerksituation möglich. Darüber hinaus ließe sich die Identität des Angreifers eindeutig ermitteln, da der Angriff ein gültiges digitales Zertifikat von VeriSign oder einem anderen im Rahmen des Microsoft Root Certificate Program (RCP) akkreditierten Anbieter voraussetzt. Diese Anbieter haben die Daten ihrer Kunden gespeichert. Schließlich könnte der Anwender das gefälschte Zertifikat jederzeit als Schwindel entlarven: Wenn er das Zertifikat überprüft, kann er leicht feststellen, dass es von einer Quelle ausgestellt wurde, die ihm überhaupt nicht bekannt ist.*(
pte)
Links zum Thema:
Navigation
Microsoft prüft angebliche Sicherheitslücke im Internet Explorer
Linear-Darstellung
