Patch für gefälschte Microsoft-Zertifikate da

Microsoft (Börse Frankfurt: MSF) hat jetzt einen Patch veröffentlicht, der eine durch die fälschlich ausgestellten Verisign-Zertifikate entstandene Sicherheitslücke schließt. Das Softwarepaket ist auf der Microsoft-Site erhältlich. Es gilt für alle Betriebssysteme von Windows 95 über 98, Me, NT bis hin zu 2000.

Allerdings ist der Patch nur für die englischen Betriebssysteme geeignet. Wie Microsoft Deutschland mitteilt, wird der Patch für die lokale Version bald auf der deutschen Download-Site zur Verfügung stehen. Wann genau weiß das Unternehmen aber selber noch nicht.

Das Problem war entstanden, weil die Firma Verisign sowohl am 29. und 30. Januar jeweils ein digitales Zertifikat der Klasse drei an eine Person ausgegeben hatte, die vorgegeben hatte, ein Microsoft-Mitarbeiter zu sein. Beide Software-Zertifikate sind für den allgemeinen Namen „Microsoft Corporation“ ausgestellt. Dadurch kann der Betrüger Software anbieten, die zwar vorgeblich Microsoft-Schlüssel enthält, jedoch nicht vom Software-Riesen stammt und alles mögliche an Code enthalten kann.

Mit den Zertifikaten werden normalerweise die Echtheit von Active X-Steuerungselemente, Office Macros und andere ausführbaren Inhalten bestätigt. Sowohl Active X-, als auch Word-Dokumente können entweder über Webpages oder HTML-Mails verbreitet werden. Bei ersteren ist es möglich, sie automatisch in ein Skript zu integrieren, letztere können automatisch von einem Skript geöffnet werden, solange nicht das Document Open Confirmation-Tool aufgespielt wurde.

Bevor Zertifikate akzeptiert werden, kommt jedes Mal ein Dialogfeld. Microsoft empfiehlt den Usern, den Patch aufzuspielen und keine Microsoft-Zertifikate vom 29. und 30. Januar 2001 zu akzeptieren.

Kontakt: Microsoft, Tel.: 089/31760