Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

MS01-051: Irrtümlich von VeriSign ausgestellte digitale Zertifikate stellen eine Sicherheitslücke dar

Dieser Artikel wurde zuvor veröffentlicht unter D44811
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
293818 MS01-017: Erroneous VeriSign-Issued Digital Certificates Pose Spoofing Hazard
Zusammenfassung
Microsoft wurde kürzlich von der Firma VeriSign, Inc. darüber informiert, dass am 29. und 30. Januar 2001 zwei digitale VeriSign-Zertifikate der Klasse 3 mit Code-Signierung an eine Person ausgegeben wurden, die sich fälschlicherweise als Mitarbeiter von Microsoft ausgab. Der Name der beiden Zertifikate lautet "Microsoft Corporation". Die Möglichkeit, ausführbare Inhalte mithilfe von Schlüsseln zu signieren, die anscheinend von Microsoft stammen, würden einen böswilligen Benutzer in die Lage versetzen, andere Benutzer zum Ausführen der Inhalte zu verleiten.

Mit den Zertifikaten könnten Programme, ActiveX-Steuerelemente, Microsoft Office-Makros und andere ausführbare Inhalte signiert werden. Hierbei würde von signierten ActiveX-Steuerelemente und Microsoft Office-Makros das größte Risiko ausgehen, da sie die direktesten Angriffsszenarien bieten würden. Sowohl ActiveX-Steuerelemente als auch Word-Dokumente können über Webseiten und HTML-formatierte E-Mail-Nachrichten übermittelt werden. ActiveX-Steuerelemente und Word-Dokumente können automatisch von einem Skript aufgerufen bzw. geöffnet werden. Dies wird erst verhindert, wenn Sie das Tool "Office Document Open Confirmation" angewandt haben.

Obwohl die Zertifikate den Anschein erwecken, als würden Sie von Microsoft stammen, handelt es sich um keine echten Microsoft-Zertifikate. Sie sollten daher keinem Inhalt vertrauen, der von diesen Zertifikaten signiert wurde. Vertrauenswürdigkeit wird von Zertifikat zu Zertifikat neu definiert und basiert nicht auf dem Namen des Zertifikats. Deshalb wird eine Warnung angezeigt, bevor der signierte Inhalt (ganz oder teilweise) ausgeführt werden kann. Dies geschieht selbst dann, wenn Sie vorher andere Zertifikate mit dem Namen "Microsoft Corporation" als vertrauenswürdig eingestuft haben. Die Gefahr besteht darin, dass auch Benutzer, die großen Wert auf Sicherheit legen, der Ausführung des signierten Inhalts zustimmen könnten. Sie könnten ebenfalls zustimmen, dass den betrügerischen Zertifikaten immer vertraut werden soll.

VeriSign hat die Zertifikate widerrufen und in seiner aktuellen Zertifikatssperrliste (Certificate Revocation List = CRL) aufgenommen. Da jedoch die VeriSign-Zertifikate mit Code-Signierung keinen CRL-Verteilungspunkt (CRL Distribution Point = CDP) angeben, kann der CRL-Überprüfungsmechanismus des Browsers keinen Download der VeriSign-CRL durchführen und sie verwenden. Microsoft stellt ein Update zur Verfügung, mit dem dieses Problem behoben werden kann. Dieses Update enthält eine CRL, in der die zwei fraglichen Zertifikate aufgeführt sind. Des Weiteren enthält das Update einen installierbaren Revocation-Handler, der nicht den CDP-Mechanismus verwendet, sondern stattdessen auf die CRL auf dem lokalen Rechner zugreift.

Weitere Informationen zu diesem Update finden Sie in folgendem Artikel der Microsoft Knowledge Base:
293811 Update Available to Revoke Fraudulent Microsoft Certificates Issued by VeriSign
Weitere Informationen

Schadensbegrenzende Faktoren

  • Den Zertifikaten wird nicht automatisch vertraut. Daher können weder Code noch ActiveX-Steuerelemente ohne Anzeige einer Warnungmeldung ausgeführt werden. Wenn Sie die Zertifikate in diesen Warnungmeldungen studieren, können Sie die falschen Zertifikate leicht erkennen.
  • Es handelt sich nicht um die echten Microsoft-Zertifikate mit Code-Signierung. Mit diesen Schlüsseln signierter Inhalt unterscheidet sich von echtem Microsoft-Inhalt.
Weitere Informationen dazu, wie Sie den vertrauenswürdigen Status dieser Zertifikate widerrufen können, finden Sie in folgendem Artikel der Microsoft Knowledge Base:
293816 How to Determine Whether You Have Accepted Trust for Fraudulent VeriSign-Issued Certificates
Weitere Informationen finden Sie auf der folgenden Microsoft-Website:Benutzer von Windows NT Server 4.0, Terminal Server Edition, können das Security Rollup Package (SRP) für Windows NT Server 4.0, Terminal Server Edition, verwenden. Weitere Informationen zum Security Rollup Package finden Sie in folgendem Artikel der Microsoft Knowledge Base:
317636 Windows NT Server 4.0, Terminal Server Edition, Security Rollup Package
security_patch kbtsesrp
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Eigenschaften

Artikelnummer: 293818 – Letzte Überarbeitung: 11/16/2006 08:14:00 – Revision: 2.5

  • Microsoft Windows NT Server 4.0, Terminal Server Edition Service Pack 4
  • Microsoft Windows NT Server 4.0 Terminal Server Service Pack 5
  • Microsoft Windows NT Server 4.0 Terminal Server Service Pack 6
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Service Pack 1
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT 4.0 Service Pack 1
  • Microsoft Windows NT 4.0 Service Pack 2
  • Microsoft Windows NT 4.0 Service Pack 3
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows NT 4.0 Service Pack 6a
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT 4.0 Service Pack 4
  • Microsoft Windows NT 4.0 Service Pack 5
  • Microsoft Windows NT 4.0 Service Pack 6a
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Workstation 4.0
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows Millennium Edition
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
  • kbinfo kbsecurity kb3rdparty kbsechack KB293818
Feedback