Betroffene Systeme: MS Office,Internet Explorer,Outlook Express
Quelle:
http://cert.uni-stuttgart.de/archive/ms/2002/09/msg00001.html
Microsoft Windows Betriebssysteme sowie der Internet Explorer, Microsoft Office und Outlook Express für Mac OS weisen eine Schwachstelle bei der Überprüfung von Zertifikaten auf.
Betroffene Systeme:
- Microsoft Windows 98
- Microsoft Windows 98 Second Edition
- Microsoft Windows Me
- Microsoft Windows NT 4.0
- Microsoft Windows NT 4.0, Terminal Server Edition
- Microsoft Windows 2000
- Microsoft Windows XP
- Microsoft Office 98, 2001 und v. X für Mac
- Microsoft Internet Explorer für Mac
- Microsoft Outlook Express für Mac
Einfallstor:
- IPSEC-Verbindung
- signierte E-Mail
- Arglistige Webseite
- signierter Programmcode (Authenticode)
Auswirkung:
- Unautorisierte Zertifikat-basierte Authentifizierung (z.B. bei IPSEC-Verbindungen oder Webserver-Authentifizierungen mittels Client-Zertifikaten).
- Fälschung von digitalen Signaturen (z.B. bei E-Mails).
- Fälschung von Webserver-Zertifikaten, wodurch arglistige Webseiten gültige SSL-Zertifikate für andere Webseiten vortäuschen können.
- Möglicherweise ist eine digitale Signierung von Programmcode (Authenticode) möglich.
Typ der Verwundbarkeit:
- fehlerhafte Überprüfung von Zertifikaten
Gefahrenpotential:
- hoch bis sehr hoch (Hinweise zur [1]Einstufung des Gefahrenpotentials.)
Beschreibung:
Die Microsoft Windows Betriebssysteme sowie Microsoft Office, Internet Explorer und Outlook Express für Mac weisen eine Schwachstelle bei der Überprüfung von Zertifikaten auf. Angreifer sind dadurch in der Lage, Zertifikate dahingehend zu ändern, daß die betroffenen Produkte das manipulierte Zertifikat akzeptieren, obwohl es bei korrekter Überprüfung als ungültig eingestuft würde. Dadurch sind Angreifer in der Lage, unautorisiert Zertifikat-basierte Authentifizierungen vorzunehmen, Webserver-Zertifikate für gesicherte HTTPS-Verbindung vorzutäuschen oder E-Mails mit gefälschten Zertifikaten zu signieren.
Sowohl die [2]CryptoAPI von Microsoft als auch die Implementierung von digitalen Zertifikaten in den Microsoft-Produkten für Mac OS überprüfen das "Basic Constraints"-Feld eines Zertifikates nicht. Dieses Feld definiert ob das Zertifikat eine Zertifikatsauthorität ist oder ein Endzertifikat, sowie die maximale Länge einer Zertifikatskette. Angreifer, die im Besitz eines gültigen Endzertifikates sind, können diese Schwachstelle dazu ausnutzen, dem betroffenen System ein gefälschtes Zertifikat unterzuschieben, indem sie selbst ein untergeordnetes Zertifikat erstellen, das vom System wie ein gültiges Zertifikat akzeptiert wird. Ein solches Zertifikat sollte vom System als nicht gültig, weil von einem nicht zur Zertifizierung zugelassenen Schlüssel (zum o.g. Endzertifikat gehörend) signiert, eingestuft werden.
Gegenmaßnahmen:
Microsoft stellt derzeit für einige Plattformen Patches zur Verfügung, die noch ausstehenden werden nach Angaben von Microsoft in Kürze folgen:
Microsoft Windows 98:
http://www.microsoft.com/windows98/downloads/contents/WUCritical/q328145/default.asp
Windows 98 Second Edition:
http://www.microsoft.com/windows98/downloads/contents/WUCritical/q328145/default.asp
Windows Me:
http://download.microsoft.com/download/WINME/PATCH/25386/WINME/EN-US/328145USAM.EXE
Windows NT 4.0:
http://www.microsoft.com/ntserver/nts/downloads/critical/q328145/default.asp
Windows NT 4.0 Terminal Server Edition:
http://www.microsoft.com/ntserver/terminalserver/downloads/critical/q328145/default.asp
Windows 2000:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=42431
Windows XP:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=42562
Windows XP 64 bit Edition:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=42558
Microsoft Office v. X für Mac: noch nicht verfügbar
Microsoft Office 2001 für Mac: noch nicht verfügbar
Microsoft Office 98 für Mac: noch nicht verfügbar
Microsoft Internet Explorer für Mac (für OS 8.1 bis 9.x):
http://www.microsoft.com/mac/DOWNLOAD/IE/ie5_classic.asp
Microsoft Internet Explorer für Mac (für OS X):
http://www.microsoft.com/mac/DOWNLOAD/IE/ie5_osx.asp
Microsoft Outlook Express 5.0.5 für Mac: noch nicht verfügbar
Vulnerability ID:
CAN-2002-0862
Weitere Information zu diesem Thema:
Microsoft Security Bulletin MS02-050 Certificate Validation Flaw Could Enable Identity Spoofing (Q328145)
IE SSL Vulnerability (BUGTRAQ)
Information about Reported Web Security Vulnerability (Microsoft)
Internet X.509 Public Key Infrastructure Certificate and CRL Profile (RFC3280)
Revisionen dieser Meldung:
V.1.0 (2002-09-05)
V.1.1 (2002-09-06) Patches für Windows 98/98SE und ME verfügbar
V.1.2 (2002-09-10) Patches für Windows 2000 verfügbar (derzeit nur für die us-Version)
V.1.3 (2002-09-16) dt. Patch für Windows 2000 verfügbar
V.2.0 (2002-09-26) Internet Explorer 5.1.6 bzw. 5.2.2 für Mac OS verfügbar.
Aktuelle Version dieses Artikels:
http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=951
Hinweis:
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und Zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.
Copyright © 2002 RUS-CERT, Universität Stuttgart,
http://CERT.Uni-Stuttgart.DE/
Navigation
Schwachstelle bei der Validierung von Zertifikaten
Linear-Darstellung
