Gefährliches Sicherheitsloch im Internet Explorer entdeckt

Ein Sicherheitsloch in Microsofts Web-Browser Internet Explorer macht jede sicher geglaubte Secure Sockets Layer (SSL)-Verbindung unsicher. Das Problem ist laut dem Experten Mike Benham, dass der Browser die Zertifikate nicht auf Echtheit prüft.

So könnte jeder Domain-Inhaber eines signierten Zertifikats auch ein solches für eine fremde URL generieren. Der User könne nicht sicher sein, dass das Zertifikat authentisch sei.

„Durch das Ausnutzen dieses trivialen Tricks lässt sich eine sichere Website dem User vorgaukeln. Werden dann auch noch Datenpakete entführt, ist ein ‚Man-in-the-middle-Angriff‘ durchaus durchführbar. Durch diesen Bug wird der ganze Sinn eines SSL-Zertifikats zunichte gemacht“, konstatiert Benham. Unter einer Man-In-The-Middle-Attacke versteht man, wenn sich ein Rechner auf der „Route“ zum Zielrechner als dieser maskiert. Die Gefahr besteht darin, diesem Rechner nun zu glauben, und sicherheitsrelevante Daten wie Anmeldeinformation anzuvertrauen.

Von dem Problem ist laut Benham der Internet Explorer 5 und 5.5 komplett betroffen. Unter den meisten Umständen sei auch die Version 6.0 des Browsers verwundbar.

Microsoft untersucht derzeit die Angaben von dem Sicherheitsexperten. Der Redmonder Konzern meinte in einer kurzen schriftlichen Stellungnahme nur, dass so ein Angriff „technisch sehr schwierig, zeitbegrenzt und einen hohen Grad an Netzwerk-Kenntnissen“ erfordere.

Der Software-Hersteller zeigte unterdessen keine Anzeichen, für das Problem einen Bugfix herauszugeben und bezeichnete das Veröffentlichen des Bugs von Benham als unverantwortlich.