Forscher stellen Exploit für SSL-Schwachstelle vor

Dieses Thema im Forum "Netzwelt" wurde erstellt von Melcos, 16. September 2006 .

Schlagworte:
  1. 16. September 2006
    Forscher stellen Exploit für SSL-Schwachstelle vor

    Informatiker der TU Darmstadt haben nach eigenen Angaben einen Exploit für eine kürzlich entdeckte Schwachstelle in SSL-Implementierungen entwickelt, die seit Ende August bekannt ist. Damit sei es möglich, "in weniger als 10 Minuten" ein gefälschtes SSL-Zertifikat zu erstellen, das von mehreren Browsern als echtes Zertifikat einer anerkannten Certificate Authority (CA) akzeptiert werde. Zusammen mit manipulierten URLs ergäben sich dadurch neue Möglichkeiten für Phishing-Angriffe.

    Eine Reihe von SSL-Implementierungen erkennen auf Grund eines Fehlers gefälschte digitale Signaturen unter bestimmten Voraussetzungen nicht als solche. Dieser Fehler wurde bereit in OpenSSL gefunden und behoben, diverse Browser sind offenbar ebenfalls anfällig. Voraussetzung für einen Angriff ist, dass eine der akzeptierten Certificat Authority einen RSA-Schluessel mit dem Exponenten 3 verwendet. Eine solche CA fände sich jedoch bei allen wichtigen Browsern.

    Man habe die Browser-Hersteller von dem Exploit informiert, erklärten die Forscher. Internet Explorer 6 und Safari seien von der Schwachstelle nicht betroffen. In Firefox sei das Problem ab Version 1.5.0.7 behoben. Konqueror nutzt die auf dem System installierten OpenSSL-Bibliotheken und ist somit nicht anfällig, wenn diese auf dem aktuellen Stand sind.

    Die aktuelle Version von Opera sei nach Angaben des Herstellers noch anfällig für die gefälschten Zertifikte. Ein Update auf den "bald erscheinenden" Opera 9.02 soll die Lücke schließen. Die TU Darmstadt listet in ihrer Mitteilung betroffene Zertifikate auf und empfiehlt, diese zu entfernen, bis ein Update bereit steht. Welchen Exponenten ein Zertifikat nutzt, kann man mit OpenSSL selbst überprüfen:

    openssl x509 -noout -text -in <certificate>

    Auch wenn sich die Sicherheitsnotiz der TU Darmstadt auf Browser beschränkt, betrifft das Problem auch andere Programme, die mit X.509-Zertifikaten arbeiten. So erkennt beispielsweise auch das Mail-Programm Thunderbird derart gefälschte digitale Unterschriften erst ab Version 1.5.0.7.

    Quelle: heise.de
     
    + Multi-Zitat Zitieren
  3. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.

Auf dieses Thema antworten