CERT: Neues Problem beim Navigator

Die Mitglieder des Carnegie Mellon University’s Computer Emergency Response Team (CERT) haben auf einen neuen Aspekt eines bereits bekannten Problems beim Navigator hingewiesen. Wie das Acros Security Team herausgefunden hat, lässt sich der Browser manchmal täuschen und gibt vor, eine sichere Verbindung aufgebaut zu haben, obwohl das nicht der Fall ist (ZDNet berichtete).

Jetzt hat sich eine Variante der Sicherheitslücke aufgetan: Der Aufbau einer Secure Socket Layer (SSL)-Verbindung wird normalerweise durch verschlüsselte Rückbotschaften von der Host-Seite authentifiziert. Passt diese Nachricht nicht zum DNS, von dem der Client die Information angefordert hat, zeigt der Navigator eine Warnung. Und hier kommt das neue Problem ins Spiel: Klickt der User diese Meldung einmal mit „OK“ weg, registriert der Navigator die in Wirklichkeit dubiose Verbindung als „sicher“ und zeigt keine weiteren Warnungen an, wenn der Anwender auf der Domäne weiter surft und im schlimmsten Fall Informationen weitergibt.

Das CERT empfiehlt, aufpoppende Meldungen des Browsers in jedem Fall genau durchzulesen und Zertifikate, die nicht mit dem Host-Namen übereinstimmen, abzulehnen. Wer sich unsicher ist, ob sein Navigator zweifelhafte Domänen bereits als „zertifiziert“ eingestuft hat, soll laut CERT den harten Weg gehen und sich jeweils telefonisch bei derjenigen Stelle, die das Zertifikat vergibt, rückversichern. Das ist möglich, indem man im Navigator alle Zertifikate löscht, denn dann meldet der Browser jedesmal, wenn er im Begriff ist, eine sichere Verbindung aufzubauen. „Das mag unbequem und lästig sein, aber es gibt Ihnen größere Kontrolle darüber, welche Zertifikate Sie akzeptieren“, schreibt CERT.

Iplanet hat vor, im Verlauf des Jahres einen neuen Communicator auf den Markt zu bringen, wo dieses Problem behoben sein soll.