Geschrieben von Cerberus am 15.08.2002 um 13:24:
Microsoft redet Sicherheitslücke im Internet Explorer kleinVor wenigen Tagen wurde bekannt, dass sowohl der Internet Explorer als auch der Open-Source-Browser Konqueror eine Sicherheitslücke beim Aufruf von SSL-Webseiten aufweisen. Beide Browser prüfen SSL-Zertifikate nur unzureichend. Während für Konqueror sofort ein Patch zum Schließen der Sicherheitslücke erschien, will Microsoft das Problem ein paar Tage später klein reden.
In einer aktuellen Pressemitteilung von Microsoft Deutschland wird das Problem mit SSL-Seiten nur als "angebliche Sicherheitslücke" bezeichnet, auch wenn der Entdecker des Problems an einem Beispiel gezeigt hat, wie die lückenhafte Überprüfung von SSL-Zertifikaten ausgenutzt werden kann.
Für Microsoft stellt die Sicherheitslücke "in der Realität allerdings nur unter äußerst unwahrscheinlichen Umständen eine Gefahr für die Datensicherheit der Anwender dar", womit Redmond zwischen den Zeilen die Existenz der Sicherheitslücke eingesteht und sich selbst widerspricht, denn von einer "angeblichen Sicherheitslücke" kann somit keine Rede sein.
Warum der Softwareriese - im Gegensatz zum Open-Source-Browser Konqueror - immer noch keinen Patch zum Stopfen der Sicherheitslücke anbietet, wird damit begründet, dass das Microsoft Security Response Center immer noch mit der Untersuchung beschäftigt sei. "Sobald die Prüfung abgeschlossen ist und alle Fakten vorliegen, werden die notwendigen Schritte eingeleitet, um Kunden vor möglichen Risiken zu schützen", heißt es nebulös von Microsoft.
Außerdem betont Microsoft, dass der Anwender das gefälschte Zertifikat jederzeit als Schwindel entlarven könne: "Wenn er das Zertifikat überprüft, kann er leicht feststellen, dass es von einer Quelle ausgestellt wurde, die ihm überhaupt nicht bekannt ist.". Dabei unterschlägt der Softwaregigant aber, dass der Anwender dazu gezielt bestimmte Befehle im Browser ausführen muss, weil der Internet Explorer diese Informationen nicht von sich aus liefert.
(Golem)
Cerberus