|
"Soweit, so schlecht. Wer sich bewusst ist, Certificates vom 29. und 30. Jan. 2001 nicht zu trauen, kann sich ab jetzt mit etwas Disziplin vor den falschen Certificates schützen. Was passiert aber mit all den Fällen, in denen die Leute OK tippen, weil sie nichts davon wissen (z.B. die letzten 6 Wochen). Die ganze MS Netzsicherheit hängt davon ab, dass im Zeitpunkt, in dem ein Certificate angenommen wird, auch wirklich alles gut ist. Danach ist es praktisch unmöglich, all die Files und Registry-Einträge zu finden, die zu einem bestimmten Certificate gehören. Das bedeutet, das ganze System mit sehr viel Wissen von Hand durchsuchen, oder realistischer, Windows neu installieren.
Sicher, VeriSign hat zugegeben, dass der Fehler auf ihrer Seite liegt, aber Microsoft hat ein Problem, dass keine Wiedergutmachung von Seiten von VeriSign lösen kann -- und Microsoft wurde schon damals vehement darauf aufmerksam gemacht, als sie ActiveX als Alternative zu Java und dessen "Sandkasten" (JVM) lancierten.
Mal sehen, wie sich Microsoft diesmal rauswindet."
Zusatz von vepi:"Gemäss Meldung der Depesche der Österreichischen Konsumentenorganisation Quintessenz wurden zwei Zertifikate mit echten Signaturen von Microsoft und Verisign geklaut. Damit ist es möglich, Viren als echte MS-Programme zu deklarieren. Fragt sich nur, wo da der unterschied ist? ;-)
Originalmeldung der qdepesche:
"Wie in der Nacht auf heute bekannt wurde, haben
Unbekannte, die sich als Mitarbeiter von Microsoft ausgaben,
vom Marktführer für digitale Signaturen, Verisign, irrtümlich
mindestens zwei Zertifikate erhalten, die durch einen
Originalschlüssel von Microsoft autorisiert sind.
Diese so genannten Class3-Digital-Certificates werden dazu
benutzt, um Active X Controls, Makros und andere
Programme zu signieren.
Damit soll sichergestellt werden, dass ein zum Beispiel via
WWW übermitteltes Programm tatsächlich von Microsoft und
nicht etwa von unbekannten Dritten stammt.
Viren als MS-Programme
Bereits seit Ende Jänner sind zwei
Zertifikate im Umlauf, die etwa Viren oder Trojanern
bescheinigen können, originale MS-Programme zu sein -
unter der Bürgschaft Verisigns, gezeichnet durch einen
echten Key von Microsoft. Die Warnung von CERT
Grundsätzliche Dialogbox
Nur eine Dialogbox, in der von allgemeinen Chancen und
Risiken digitaler Zertifikate die Rede ist, muss vor dem
Installationsvorgang geklickt werden.
Zu bestätigen ist nur, dass man von Microsoft signierten
Zertifikaten grundsätzlich traut.
Patch in Arbeit
Wozu die beiden mit 30. und 31. Jänner 2001
datierten Zertifikate bereits benutzt wurden, ist unbekannt,
ein Patch von Microsoft ist nach Angaben aus Redmond in
Arbeit.
MS Security Bulletin
"Königliche Scheiße"
Was Verisign angeht, so wurde nicht nur bei Ausgabe der
Zertifikate an angebliche Mitarbeiter von Microsoft
geschlampt.
Source:
Futurezone.orf.at"
|
