Security

Zertifikats-GAU: Updates für Windows XP & Server

Auch für Windows XP sowie Windows Server 2003 hat Microsoft nun Updates veröffentlicht, mit denen die mehr als 500 gefälschten SSL-Zertifikate des Dienstleisters DigiNotar auf beiden Systemen ungültig werden. Zunächst ist noch ein manueller Download notwendig.

07.09.2011, 13:31 Uhr
Arbeitsplatz© Brad / Fotolia.com

Zunächst war es nur ein gefälschtes SSL-Zertifikat des niederländischen Sicherheitsdienstleisters DigiNotar. Was als Einzelfall bereits für erhebliche Furore sorgte, wirkte wenig später nur wie die Spitze eines Eisbergs unbekanntes Ausmaßes. Mittlerweile wurden mehr als 500 Fake-Zertifikate identifiziert – weitere Fälschungen nicht ausgeschlossen. Jedes davon bietet die Möglichkeit, die "Echtheit" von Website-Plagiaten bekannter Domains wie google.com oder microsoft.com vorzugaukeln und so den Datenverkehr dorthin umgeleiteter Nutzer abzugreifen (Phishing). Die Internet- und Software-Branche ist derweil unablässig um Schadensbegrenzung bemüht. Nun hat auch Microsoft ein bereits angekündigtes Update für die Alt-Betriebssysteme Windows XP (32- und 64-Bit) sowie Windows Server 2003 (32- und 64-Bit sowie Itanium) veröffentlicht. Die Updates entziehen einer Reihe von Root-Zertifikaten von DigiNotar das Vertrauen und verschieben sie in den Microsoft Untrusted Certificate Store.

Manuelle Installation notwendig

Die Patches seien ab sofort verfügbar, müssten derzeit allerdings noch manuell aus der Knowledgebase heruntergeladen werden, teilte Microsoft-Sicherheitsexperte Michael Kranawetter auf dem Chief Security Advisor Blog mit. Eine Auslieferung über Windows Update soll erst in Kürze erfolgen.

Darüber hinaus gab Kranawetter bekannt, dass auch windowsupdate.com und www.update.microsoft.com von den Zertifikatsangriffen betroffen gewesen seien. Es habe jedoch zu keinem Zeitpunkt die Gefahr bestanden, dass Windows-Nutzern per Windows Update bösartig manipulierte Sicherheitsupdates untergeschoben würden. So stelle der Windows-eigene Update-Mechanismus die Echtheit eines Sicherheitsupdates anhand von mehreren Faktoren fest, wobei die URL des Update-Servers nur einer unter vielen sei.

Auch generell sei die Gefahr, aufgrund der Vorfälle Opfer einer Attacke zu werden, relativ gering, so Kranawetter. Damit diese Erfolg habe, müssten generell weitere Manipulationen vorgenommen werden – etwa ein vorheriges Kompromittieren der für die Verarbeitung von Internetadressen zuständigen DNS-Infrastruktur. Dies sei nur staatlichen Stellen oder den Internetanbietern möglich. Besondere Vorsicht geboten sei aber in öffentlichen Netzwerken wie Internet-Cafés oder bei der Nutzung von WLAN-Hotspots. Dort genüge es, wenn die Angreifer die Kontrolle über das lokale Netz erlangten.

(Christian Wolf)

Kommentieren Forum
Zum Seitenanfang