Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Manipulierte SSL-Zertifikate gefährden Safari-Anwender

Wie Heise Online berichtet, ist mittlerweile ein manipuliertes SSL-Zertifikat für www.paypal.com im Umlauf, mit dem Betrüger erweiterte Phishing-Angriffe durchführen können. Schuld an der Situation ist eine fehlerhafte Prüfung des SSL-Zertifikats in den aktuellen Versionen von Chrome, Internet-Explorer und Safari. Durch das Einschleusen eines NULL-Zeichens in die Domain-Angabe des Zertifikats werden im Browser nur die davor gelesenen Zeichen geprüft. So wird aus einem Zertifikat für die Domain www.paypal.com\0hacker.com ein Zertifikat für www.paypal.com. Die Web-Browser Firefox und Opera haben nur wenige Tage nach Bekanntwerden der Sicherheitslücke diese bereits geschlossen. Die manipulierten SSL-Zertifikate lassen sich nicht nur für Phishing-Angriffe nutzen, sondern sind auch im lokalen Netz für das Mitlesen verschlüsselter Verbindungen über Man-in-the-Middle-Angriffe hilfreich. Nachdem nun entsprechende Zertifikate in einschlägigen Kreisen im Umlauf sind, geraten Apple, Google und Microsoft in Zugzwang, möglichst bald entsprechende Sicherheitsaktualisierungen für ihre Web-Browser zu veröffentlichen, um nicht leichtfertig die Sicherheit ihrer Anwender zu gefährden.

Weiterführende Links:
iMac M4 angekündigt
iMac M4 angekündigt
Vor 15 Jahren: Als der iMac riesig wurde
Vor 15 Jahren: Als der iMac riesig wurde
Neues iPad mini
Neues iPad mini
Vor 10 Jahren: Das iPhone 6 und "Bendgate"
Vor 10 Jahren: Das iPhone 6 und "Bendgate"
iPhone 16: Lieferzeiten teils deutlich gestiegen – aktuelle Übersicht
iPhone 16: Lieferzeiten teils deutlich gestiege...
Kurz: 5G-Netze noch mit sehr wenigen Nutzern +++ Apple Pencil als TV-Antenne (Patent)
Kurz: 5G-Netze noch mit sehr wenigen Nutzern ++...
Kurz: Schon wieder neue AirPods-Firmware +++ Severance Staffel 2: Trailer erschienen
Kurz: Schon wieder neue AirPods-Firmware +++ Se...
macOS 15, iOS 18: Die ersten Nutzer-Rückmeldungen und frühen Erfahrungen
macOS 15, iOS 18: Die ersten Nutzer-Rückmeldung...

Kommentare

sierkb06.10.09 13:13
Siehe auch MTN-Meldung "Implementierung von SSL-Zertifikaten in vielen Programmen fehlerhaft" vom 30. Juli 2009.
0
Tiger
Tiger06.10.09 13:23
Ich kann mir schon die Reihenfolge vorstellen:

Google
Microsoft
dann vergehen mal ein paar Wochen
und dann: Apple
0
hoshbad
hoshbad06.10.09 13:53
Leider ja
0
AndiSkater06.10.09 14:08
Panik PAnik PANIK!!! Am besten den Computer auslassen und sich in einer dunklen nicht einsturzgefährdeten Höhle verkriechen! Heute muss alles Sicher sein, denn die Welt ist böse. Bald gibt es Helmpflicht für Fußgänger und wir werden alle 24h Videoüberwacht, auch zu Hause, man könnte ja stürzen und dank Überwachung kann der Krankenwagen dann schon losfahren bevor dem den Boden berührt hat. Schöne neue Welt... Ja, war etwas offtopic, aber ich meine: Halb so schlimm, wenn man ein bisschen aufpasst und ein bisschen Eigenverantwortung zeigt wird man schon nicht gephished, bis die Lücke gepatcht ist.
0
Garp200006.10.09 14:19
Apple macht das Update dann wenn Klicki-Bunti iPhone OS 3.2 ansteht oder Safari 5 mit Fire Leopard 10.7. Aber keinesfalls innerhalb eines kritischen Hotfixes.
Star of CCTV
0
sierkb06.10.09 14:22
heise Security vom 30.09.2009: Trickzertifikat für SSL veröffentlicht
Halb so schlimm, wenn man ein bisschen aufpasst und ein bisschen Eigenverantwortung zeigt wird man schon nicht gephished, bis die Lücke gepatcht ist.

Ist nicht immer und für jeden leicht, da entsprechend aufzupassen bzw. Gut von Böse tatsächlich unterscheiden zu können: ...
0
Tekl06.10.09 14:27
Die größte Sicherheitslücke ist, sich auch Sicherheitsfeatures zu verlassen.
0
Michael Lang06.10.09 14:43
Na dann warten wir doch auf das umgehende stopfen dieser Lücke...

Hoffe, Apple wird mal gescheiter und reagiert wirklich schnell...
- Das größte Maul und das kleinste Hirn,wohnen meist unter derselben Stirn. - Hermann Oscar Arno Alfred Holz, (1863 - 1929), deutscher Schriftsteller
0
morpheus
morpheus06.10.09 15:49
@Garp2000: Wieder hier unterwegs, bei heise machts doch viel mehr Spass!
Coffee is always the solution
0
Garp200006.10.09 16:18
Die IE ist übrigens nicht gefährdet, da er dieses längst vom Publisher zurückgezogene Zertifikat als ungültig erkennt. Nur Safari und Chrome erkennen nicht, dass das Zertifikat zurückgezogen wurde und verwenden es weiter munter.
Star of CCTV
0
sierkb06.10.09 16:28
Garp2000:
Nur Safari und Chrome erkennen nicht, dass das Zertifikat zurückgezogen wurde und verwenden es weiter munter.

Bei Heise steht u.a.:
Die aktuellen Versionen von Chrome 3.x und Safari 4.x akzeptieren das Zertifikat indes ohne Murren und ohne Fehlermeldung, da die Abfrage der Revocation-Liste standardmäßig deaktiviert ist. Bei Chrome lässt sich die Prüfung unter "Optionen/Details/Sicherheit/Sperrung des Serverzertifikats" anschalten.

Bzgl. Safari: .

Trotzdem wären andere Default-Einstellungen und im Fall von Apple darüberhinaus eine entspr. gewartete/gepatchte SSL-Basis besser.
0
user_tron06.10.09 17:45
Solange noch keine Opfer bekannt sind, ist das alles nur Panikmache

Ausserdem merkt man, wenn man auf so ner Phisching-Seite ist wenn man etwas Obacht gibt.
Ich erwarte von niemanden Zustimmung für meine persönlichen Ansichten ;-)
0
dreyfus06.10.09 18:56

Phishing Filter waren von Anfang an eine Schnapsidee. Solange nicht jeder Anwender begreift, dass man auf keine Links zu Zahlungsabwicklern und Banken in Emails klickt, wird es keine Sicherheit geben. Ich kenne meine Kennwörter gar nicht und könnte sie mir auch nicht merken und 1Password gibt die für mich nur dann ein, wenn ich auf der richtigen Seite bin. Warum der Gesetzgeber nicht hingeht und Firmen, die solche Dienste anbieten zu einer two-factor authentication zwingt, ist das wahre Rätsel. Dann könnte man sich das ganze Gedöns sparen.
0
Swentech06.10.09 19:32
Also ich habe 1Passwort und wenn da die URL nicht ganz genau stimmt, kann ich das Passwort über 1Passwort in Safari für PayPal etc. nicht einsetzen.
Spätestens da müsste man hellhörig werden.
0
Mac M.
Mac M.07.10.09 00:58
dreyfus und Swentech:

40$ für die Vollversion von 1Password ist aber auch schon gutes Geld.
Ich werds mal als Trial testen. Die Funktionen klingen gut und sicher
scheint es auch zu sein. Danke für den Tipp.
0
user_tron07.10.09 09:21
dreyfus

danke für den Tipp.
Ich erwarte von niemanden Zustimmung für meine persönlichen Ansichten ;-)
0
sierkb07.10.09 11:47
dreyfus:

Bzgl. 1Password gilt auch wie so oft die Frage: "Wem vertraue ich, wem vertraue ich nicht?"

Vertraue ich sämtliche meiner wichtigen Passworte und Zugangsdaten einem Programm, einem Hersteller an? Was, wenn genau dieses Programm mal von einem Bösewicht in Angriff genommen wird und er sich widerrechtlich zu diesem Eldorado eines Zentrallagers Zugang verschaffen will?

Sind derlei lokal abgelegten Zugangsdaten (u.a. eben auch wichtige Zugangs- und Konto-Passwörter) auch für die Zukunft wirklich sicher (im Sinne des Nutzers) bei einem solchen Dritthersteller-Programm aufgehoben, auch wenn er es selbst so beteuert und um Dein Vertrauen wirbt? Auch dann, wenn die betreffende Firma mal den Besitzer wechseln oder/und das Programm einstellen oder signifikant verändern sollte?

Fragen über Fragen...
Warum der Gesetzgeber nicht hingeht und Firmen, die solche Dienste anbieten zu einer two-factor authentication zwingt, ist das wahre Rätsel. Dann könnte man sich das ganze Gedöns sparen.

Hier: bzw. hier: hast Du eine tolle Möglichkeit, einen diesbzgl. Anfang zu machen und den Gesetzgeber damit zu befassen, solltest Du ausreichend Mitunterzeichner für Dein Ansinnen finden...
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.