Windows 98 Bugreport
Neu: Gefälschte Zertifikate
Im Januar 2001 hat VeriSign versehentlich zwei Class-3-Zertifikate auf den Namen Microsoft Corporation ausgestellt und an eine unbekannte Person ausgeliefert, die sich als Mitarbeiter von Microsoft ausgegeben hatte. Mit einem solchen Zertifikat kann diese Person im Namen Microsofts Software digital signieren. Er kann damit Anwendern, die sich darauf verlassen, dass von Microsoft stammende Software wohl unbedenklich sein muss, Trojaner oder andere Bösartigkeiten unterschieben.
Das Zertifikat ist zwar inzwischen von VeriSign für ungültig erklärt und in der Certificate Revocation List (CRL) aufgeführt, allerdings überprüft der Microsoft Installer Zertifikate nicht gegen diese Liste. Deshalb hat Microsoft einen Patch für alle Windows-Versionen herausgebracht, der die beiden Zertifikate in der lokalen CRL für ungültig erklärt.
Wer den Patch nicht installieren will, sollte bei der Installation von neuer Software genau auf das Zertifikat achten. Software, die angeblich von Microsoft stammt und ein Zertifikat vom 29. oder 30. Januar 2001 aufweist, ist garantiert nicht von Microsoft.
Datum | 03.04.2001 |
|---|---|
| |
Betrifft | Windows 9x |
Wirkung | Ein Hacker ist im Besitz eines auf Microsoft ausgestellten Zertifikats und kann damit Software digital signieren. |
Patch | Für alle Windows-Versionen. |
Abhilfe | Patch installieren oder Microsoft-Zertifikate vom 29./39. Januar 2001 ignorieren. |
Informationen | Microsoft Security-Bulletin |