symlink.ch | HTTPS/SSL Hijacking Exploit in MSIE und Konq./KDE3

symlink.ch

FAQ
Mission
Über uns
Richtlinien

Moderation
Einstellungen
Story einsenden

Suchen & Index
Ruhmeshalle
Statistiken
Umfragen

Redaktion
Themen
Partner
Planet

XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde

Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

HTTPS/SSL Hijacking Exploit in MSIE und Konq./KDE3

Veröffentlicht durch Raffzahn am Dienstag 13. August, 12:53
Aus der einer-fuer-alle Abteilung

XTaran schreibt "Heise hatte gestern ja schon berichtet, daß Mike Benham Ende Juli eine Schwachstelle in der Überprüfung von "Intermediate Certification Authorities" für SSL-Zertifikate im MSIE [BugTraq] gefunden hat und das Register herausgefunden hat, daß auch Konqueror 3.0.2 betroffen ist...."

XTaran schreibt weiter "Nun hat Mike Benham auf BugTraq auch ein Tool zum Ausnutzen der Lücke gepostet. Viel Spaß beim Ausprobieren von HTTPS-Man-In-The-Middle-Attacken!

P.S.: Mozilla ist nicht betroffen. Aber hat's schon jemand mit Opera, Lynx oder w3m getestet?"

< Keine anonymen Prepaid-Karten in CH mehr? | Druckausgabe | Bestellte E-Mail-Werbung wirkt >

symlink.ch Login

extrahierte Links

Heise

BugTraq

Tool

XTaran

gestern

Mike Benham

Konqueror 3.0.2

Mehr zu Security

Auch von Raffzahn

Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.

Und hier kommen schon die Fixes: (Score:2)

Von P2501 am Tuesday 13. August, 14:38 MES (#1)
(User #31 Info) http://www.p2501.ch/

Wie The Register berichtet, ist die aktuelle CVS-Version von Konqueror 3 bugfrei. Die Version, welche mit KDE 3.0.3 kommen wird, sollte den Bug ebenfalls nicht mehr haben. Für Konqueror 2.2 wird noch ein Fix erstellt.

Auszug aus dem Report (Score:0)

Von Anonymer Feigling am Tuesday 13. August, 23:51 MES (#2)

--SNIP--
Vendor Notification Status

Last week I saw Microsoft downplay and obfuscate the severity of the IE vulnerability that Adam Megacz reported. After seeing that, I don't feel like wasting time with the Microsoft PR department.
--SNAP--

Das haben sie jetzt davon! *ROTFL*

mini-browser (Score:1)

Von apple am Wednesday 14. August, 20:19 MES (#3)
(User #817 Info)

zumindest lynx und links melden schon überhauptnichts, wenn ich sie auf meinen Apache mit Snake-Oil-Ltd Zertifikat loslasse, wärend Opera und Mozilla da lauthals Warnungsfenster aufpoppen.
Vermutlich ging es den Implementatoren eher darum, auf die Inhalte verschlüsselter Seiten (web.de, ebay, amazon...) zugreifen zu können, als die Echtheit der Server zu prüfen.

Bernhard M.
_______
just my two Eurocent

Durchsuche symlink.ch:

Never be led astray onto the path of virtue.