Wie aus aktuellen Nachrichten von z.B. Heise.de bekannt, existiert momentan eine Schwachstelle in den Browsern Internet Explorer, Chrome und Safari. Da hiervon auch Safari 4.X betroffen ist, haben wir uns die Mühe genommen und sind einer Schließung dieser Sicherheitslücke nachgegangen.
Hintergrund ist, daß aufgrund einer mangelhaften SSL-Zertifikatsprüfung in genannten Browsern es möglich ist, daß Phisher dieses Zertifikat etwa für Phishing-Angriffe ausnutzen können und ihren Server als legitimen Bankserver ausgeben – was erst bei genauerer Prüfung des Zertifikats auffliegen würde. Der Browser glaubt im vorliegenden Fall, ein gültiges Zertifikat für www.paypal.com zu erkennen.
Die aktuellen Versionen von Chrome 3.x und Safari 4.x akzeptieren das Zertifikat ohne Warn- oder Fehlermeldung, da die Abfrage der Revocation-Liste standardmäßig deaktiviert ist.
So wird die Zertifikatsprüfung in Chrome und Safari aktiviert.
Bei Chrome (plattformunabhängig) läßt sich die Prüfung unter “Optionen => Details => Sicherheit => Sperrung des Serverzertifikats” anschalten.
Bei Safari (unter Mac OS X) läßt sich die Prüfung unter “Programme => Dienstprogramme => Schlüsselbundverwaltung => auf Einstellungen klicken => auf Reiter Zertifikate klicken => bei OSCP auf “Bester Versuch”; bei CRL auf “Bester Versuch”; bei Priorität “Beides erforderlich” einstellen.
Nun prüfen auch Chrome und Safari die Zertifikate gegen. Apple und Google wären sehr gut damit beraten, schnell eine Aktualisierung für Ihre Browser bereitzustellen, da nur so die kritische Masse vor dieser bösen Falle geschützt ist.
Wir empfehlen allen Lesern, hier schnell manuell nachzubessern, sofern sie Chrome oder Safari als Standardbrowser einsetzen.
Popularity: 3%
Loading ...
