MS01-051: Irrtümlich von VeriSign ausgestellte digitale Zertifikate stellen eine Sicherheitslücke dar

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 293818 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D44811
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
293818 MS01-017: Erroneous VeriSign-Issued Digital Certificates Pose Spoofing Hazard
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Microsoft wurde kürzlich von der Firma VeriSign, Inc. darüber informiert, dass am 29. und 30. Januar 2001 zwei digitale VeriSign-Zertifikate der Klasse 3 mit Code-Signierung an eine Person ausgegeben wurden, die sich fälschlicherweise als Mitarbeiter von Microsoft ausgab. Der Name der beiden Zertifikate lautet "Microsoft Corporation". Die Möglichkeit, ausführbare Inhalte mithilfe von Schlüsseln zu signieren, die anscheinend von Microsoft stammen, würden einen böswilligen Benutzer in die Lage versetzen, andere Benutzer zum Ausführen der Inhalte zu verleiten.

Mit den Zertifikaten könnten Programme, ActiveX-Steuerelemente, Microsoft Office-Makros und andere ausführbare Inhalte signiert werden. Hierbei würde von signierten ActiveX-Steuerelemente und Microsoft Office-Makros das größte Risiko ausgehen, da sie die direktesten Angriffsszenarien bieten würden. Sowohl ActiveX-Steuerelemente als auch Word-Dokumente können über Webseiten und HTML-formatierte E-Mail-Nachrichten übermittelt werden. ActiveX-Steuerelemente und Word-Dokumente können automatisch von einem Skript aufgerufen bzw. geöffnet werden. Dies wird erst verhindert, wenn Sie das Tool "Office Document Open Confirmation" angewandt haben.

Obwohl die Zertifikate den Anschein erwecken, als würden Sie von Microsoft stammen, handelt es sich um keine echten Microsoft-Zertifikate. Sie sollten daher keinem Inhalt vertrauen, der von diesen Zertifikaten signiert wurde. Vertrauenswürdigkeit wird von Zertifikat zu Zertifikat neu definiert und basiert nicht auf dem Namen des Zertifikats. Deshalb wird eine Warnung angezeigt, bevor der signierte Inhalt (ganz oder teilweise) ausgeführt werden kann. Dies geschieht selbst dann, wenn Sie vorher andere Zertifikate mit dem Namen "Microsoft Corporation" als vertrauenswürdig eingestuft haben. Die Gefahr besteht darin, dass auch Benutzer, die großen Wert auf Sicherheit legen, der Ausführung des signierten Inhalts zustimmen könnten. Sie könnten ebenfalls zustimmen, dass den betrügerischen Zertifikaten immer vertraut werden soll.

VeriSign hat die Zertifikate widerrufen und in seiner aktuellen Zertifikatssperrliste (Certificate Revocation List = CRL) aufgenommen. Da jedoch die VeriSign-Zertifikate mit Code-Signierung keinen CRL-Verteilungspunkt (CRL Distribution Point = CDP) angeben, kann der CRL-Überprüfungsmechanismus des Browsers keinen Download der VeriSign-CRL durchführen und sie verwenden. Microsoft stellt ein Update zur Verfügung, mit dem dieses Problem behoben werden kann. Dieses Update enthält eine CRL, in der die zwei fraglichen Zertifikate aufgeführt sind. Des Weiteren enthält das Update einen installierbaren Revocation-Handler, der nicht den CDP-Mechanismus verwendet, sondern stattdessen auf die CRL auf dem lokalen Rechner zugreift.

Weitere Informationen zu diesem Update finden Sie in folgendem Artikel der Microsoft Knowledge Base:
293811 Update Available to Revoke Fraudulent Microsoft Certificates Issued by VeriSign

Weitere Informationen

Schadensbegrenzende Faktoren

  • Den Zertifikaten wird nicht automatisch vertraut. Daher können weder Code noch ActiveX-Steuerelemente ohne Anzeige einer Warnungmeldung ausgeführt werden. Wenn Sie die Zertifikate in diesen Warnungmeldungen studieren, können Sie die falschen Zertifikate leicht erkennen.
  • Es handelt sich nicht um die echten Microsoft-Zertifikate mit Code-Signierung. Mit diesen Schlüsseln signierter Inhalt unterscheidet sich von echtem Microsoft-Inhalt.
Weitere Informationen dazu, wie Sie den vertrauenswürdigen Status dieser Zertifikate widerrufen können, finden Sie in folgendem Artikel der Microsoft Knowledge Base:
293816 How to Determine Whether You Have Accepted Trust for Fraudulent VeriSign-Issued Certificates
Weitere Informationen finden Sie auf der folgenden Microsoft-Website:
http://www.microsoft.com/technet/security/bulletin/ms01-017.mspx
Benutzer von Windows NT Server 4.0, Terminal Server Edition, können das Security Rollup Package (SRP) für Windows NT Server 4.0, Terminal Server Edition, verwenden. Weitere Informationen zum Security Rollup Package finden Sie in folgendem Artikel der Microsoft Knowledge Base:
317636 Windows NT Server 4.0, Terminal Server Edition, Security Rollup Package

Eigenschaften

Artikel-ID: 293818 - Geändert am: Donnerstag, 16. November 2006 - Version: 2.5
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows NT Server 4.0, Terminal Server Edition Service Pack 4
  • Microsoft Windows NT Server 4.0 Terminal Server Service Pack 5
  • Microsoft Windows NT Server 4.0 Terminal Server Service Pack 6
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT 4.0 Service Pack 1
  • Microsoft Windows NT 4.0 Service Pack 2
  • Microsoft Windows NT 4.0 Service Pack 3
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows NT 4.0 Service Pack 6a
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows NT 4.0 Service Pack 6a
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows Millennium Edition
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
Keywords: 
kbinfo kbsecurity kb3rdparty kbsechack KB293818
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com