Windows: SSL-Schwachstelle noch immer ungepatcht (Update)

[gullinews]

Ein vor neun Wochen bekannt gewordener Bug in der CryptoAPI von Windows, der es Cyberkriminellen ermöglicht, Surfern gefälschte SSL-Zertifikate unterzuschieben, ist offenbar noch immer nicht behoben.

Die CryptoAPI ist eine Schnittstelle, auf die viele Programme, darunter auch Webbrowser, für die Überprüfung von SSL-Zertifikaten zurückgreifen. Durch den Fehler an dieser Stelle werden die Anwendungen, die die CryptoAPI nutzen, anfällig für Angriffe. Im Falle eines Webbrowsers können dem Benutzer gefälschte Zertifikate untergeschoben werden. So können dem Benutzer legitime Websites, VPN-Dienste und Mailserver vorgetäuscht werden.

weiterlesen

[Cayenne]

Neun Wochen ... Schön schön. Wie gut, dass ich Firefox verwende.
Wie sieht es eigentlich mit Opera aus? Darüber wird ja im Artikel nichts gesagt.

[docGhandy]

Für die Benutzer, die momentan mit unsicheren Browsern unterwegs sind, dürfte das jedoch kein Trost sein.

keine angst, die werden nie erfahren das ihr brauser unsicher ist....

[zayn]

Kann mir einer sagen, warum der Ie so verbuggt ist und Ff nicht?

o.O die frage ist ernst gemeint.

[the_Night22]

@zayn:
Der Firefox ist Open Source(=viele Programmierer & Helfer) und kostenlos/Plattform unabhängig(=viele Benutzer, die Bugs finden) wehrend der IE Closed Source(=Nur MS kann Bugs Beheben) und läuft nur mit Windows(=kleinere/weniger professionelle Community).

@Topic: Ich erfreue mich dann weiter an meinem SUSE und meinem Firefox.

mfg.
night

[Annika_Kremer]

@zayn:
Der Firefox ist Open Source(=viele Programmierer & Helfer) und kostenlos/Plattform unabhängig(=viele Benutzer, die Bugs finden) wehrend der IE Closed Source(=Nur MS kann Bugs Beheben) und läuft nur mit Windows(=kleinere/weniger professionelle Community).

An sich zutreffend, aber in diesem Fall ist das nicht der Punkt. Es geht vielmehr um Folgendes: Chrome, IE und Safari benutzen die Krypto-Funktionen des Betriebssystems, die momentan verbuggt sind. Firefox dagegen bringt seine eigenen mit, die mittlerweile nicht mehr verbuggt sind. Hat nichts mit Open- oder Closed-Source zu tun.

Die Frage bezüglich Opera kann ich leider auch nicht beantworten, dazu habe ich bisher nichts gefunden. Sollte ich doch noch etwas dazu erfahren, schreibe ich es hier 'rein.

[Toronto]

MS kann hier kein Vorwurf gemacht werden..
Durch den massiven Einsatz von Windows als Serverbetriebssystem ist ein Fehler in der CryptoAPI ein *bisschen* schwieriger zu beheben, als es sich anhört.... MS muss nun einen Patch bauen, der zu 110% den Fehler behebt und keine weiteren Fehler erzeugt. Neun Wochen inklusive Testzeiträume halte ich da noch nicht für kritisch.

[dRp3pP3r]

Ich habe etwas zu Opera gefunden. Ist zwar nicht zu diesem Thema, aber:

Firefox und Opera benutzen eigene Krypto-Bibliotheken.

[M!W]

MS kann hier kein Vorwurf gemacht werden..
Durch den massiven Einsatz von Windows als Serverbetriebssystem ist ein Fehler in der CryptoAPI ein *bisschen* schwieriger zu beheben, als es sich anhört.... MS muss nun einen Patch bauen, der zu 110% den Fehler behebt und keine weiteren Fehler erzeugt. Neun Wochen inklusive Testzeiträume halte ich da noch nicht für kritisch.

Man kann sich alles schönreden aber Neun Wochen halte ich für äußerst kritisch, andere kriegen das mit ähnlichen Abhängigkeiten viel schneller gebacken, also kann man Microsoft durchaus einen Vorwurf machen!

[Ghandy]

Doch, der Vorwurf ist IMHO korrekt! 9 Wochen ist ja keine so kurze Zeitspanne.

[Acacia]

naja,bei dem mitarbeiterstab den microsoft zur verfügung hat,sollte man schon meinen,das die das in 9wochen schaffen können.die werden wohl zu sehr mit ihrem 7 launch beschäftigt sein.ich nutze opera/firefox.der explorer ist mir zu nervig.

[Toronto]

Man kann sich alles schönreden aber Neun Wochen halte ich für äußerst kritisch, andere kriegen das mit ähnlichen Abhängigkeiten viel schneller gebacken, also kann man Microsoft durchaus einen Vorwurf machen!

Welche Andere?
Neun Wochen sind gerade einmal 2 1/2 Monate - das ist nichts.
Es geht wie gesagt um eine kritische Anwendung - bevor du 2Milliarden Server zerlegst, möchtest du doch sicher gehen, dass das auch funktioniert.
MS setzt hier einfach ausgesprochen hohe Qualitätsstandards für sich selbst.
Weiterhin: Wenn ein Bug reported wird, müssen die Entwickler erstmal suchen woran es denn wohl liegen könnte.
Ihr könnt doch gar nicht wissen, was nun wie genau in der API falsch läuft.
Es ist doch wahrscheinlich, dass er tief verwurzelt ist und nun ein Teil der API umgeschrieben werden muss.

Gerechtfertig wäre der Vorwurf, dass ein derartiger Bug nicht auftreten darf. Hier wurde in der Grundkonstruktion der API etwas übersehen/Mist gebaut, hier ist der Vorwurf angebracht!

[suppaman2]

[...] und läuft nur mit Windows(=kleinere/weniger professionelle Community).

Dass Windows Community kleiner ist als bei anderen Betriebssystemen wäre mir neu.

Es geht vielmehr um Folgendes: Chrome, IE und Safari benutzen die Krypto-Funktionen des Betriebssystems, die momentan verbuggt sind. Firefox dagegen bringt seine eigenen mit, die mittlerweile nicht mehr verbuggt sind.

Nur, weil im Moment kein Bug bekannt ist, heißt das nicht, dass der Code fehlerfrei ist.

[Annika_Kremer]

Ihr nehmt es aber ganz genau hier "in dem der angesprochene Bug nicht mehr drin ist".

[suppaman2]

Vor allem bei Sicherheitssoftware muss man auch genau sein :P

[wolfkid]

MS kann hier kein Vorwurf gemacht werden..
Durch den massiven Einsatz von Windows als Serverbetriebssystem ist ein Fehler in der CryptoAPI ein *bisschen* schwieriger zu beheben, als es sich anhört....

Nicht? Dann lies doch einfach noch mal.

Im Falle eines Webbrowsers können dem Benutzer gefälschte Zertifikate untergeschoben werden. So können dem Benutzer legitime Websites, VPN-Dienste und Mailserver vorgetäuscht werden.

Welcher Benutzer ist mit seinem Webbrowser, der auf einem Serverbetriebssystem unterwegs?
Oder anders gefragt: Seit wann ist bspw. XP oder Vista ein Serverbetriebssystem?

[Mr.Harmlos]

haha die Meisten seitenbetreiber schaffen es nochnichteinmal ihre Domain richtig in die Zertifikate einzutragen ...

und da sollen die user checken wann ein zertifikat falsch ist geschweige denn wann und wo das gefährlich wäre ... hahahahaha ... sorry ...aber das ist lustig ... not.

@opera

Opera und Safari ignorieren das Nullzeichen und fügen die beiden Domains einfach zusammen.

http://www.heise.de/security/meldung...rt-748883.html

[Farzi]

Neun Wochen sind für nen Hotfix echt zu viel!

Es ist schon klar, dass man für einen sauberen Patch je nach Schwere (Verwurzlungstiefe) des Problems auch mal mehrere Monate brauchen darf. Aber normalerweise patcht man dann halt erst mal das, was man schon gefunden hat und sucht dann weiter.

Interessant finde ich völlig unabhängig von der Trägheit Microsofts, dass ähnliche Fehler auch im SSL-Handling anderer Hersteller bereits gefunden und behoben wurden.

Sicherheit wird allgemein in der Softwarebranche noch nicht so wirklich ernst genommen. Das ändert sich nur langsam - aber wenigstens ändert es sich überhaupt.


Firefox und Opera haben ihre Fehler (ja, auch die Open-Source und die anderen Closed-Source-Leute machen Fehler) in ihren SSL-Implementierungen zum Glück schon behoben. Bleibt abzuwarten, wann Microsoft endlich nachzieht - und wann wir den nächsten Sicherheits-GAU serviert bekommen...

[sadbydefinition]

Schade, daß das Wildcard-Cert im IE nicht funzt, sonst würden sie vielleicht noch schneller handeln

[user124]

eigentlich, wenn es microsoft wirklich darum ginge seinen kunden den bestmöglichen service zu bieten, müssen sie einen vorabpatch herausbringen der per automatischem update den usern (dau-kompatibel) mitteilt das die benutzung des ie im moment ein sicherheitsrisiko darstellt und das sie, bis ein patch vorhanden ist, einen anderen browser (mit eigener cryptoapi) verwenden sollten.

aber wie auch andere gewinnorientierte unternehmen verkauft microsoft nicht nur ein betriebssystem, sondern eine image von erfolg, effiziens und genereller sophisticatedness die das zugeben von fehlern und deren logische behandlung verhindert.