Digitale Signatur von Microsoft wurde geklaut
Wie in der Nacht auf heute bekannt wurde, haben Unbekannte, die sich als Mitarbeiter von Microsoft ausgaben, vom Marktführer für digitale Signaturen, Verisign, irrtümlich mindestens zwei Zertifikate erhalten, die durch Microsoft durch Signatur autorisiert sind.
Diese so genannten Class3-Digital-Certificates werden dazu benutzt, um Active X Controls, Makros und andere Programme zu signieren.
Damit soll sichergestellt werden, dass ein zum Beispiel via WWW übermitteltes Programm tatsächlich von Microsoft und nicht etwa von unbekannten Dritten stammt.
Viren als MS-Programme
Bereits seit Ende Jänner sind zwei Zertifikate im Umlauf, die
etwa Viren oder Trojanern bescheinigen können, originale
MS-Programme zu sein - unter der Bürgschaft Verisigns, gezeichnet
durch einen echten Key von Microsoft.
Die Warnung von CERTGrundsätzliche Dialogbox
Nur eine Dialogbox, in der von allgemeinen Chancen und Risiken digitaler Zertifikate die Rede ist, muss vor dem Installationsvorgang geklickt werden.
Zu bestätigen ist nur, dass man von Microsoft signierten Zertifikaten grundsätzlich traut.
Patch in Arbeit
Wozu die beiden mit 30. und 31. Jänner 2001 datierten Zertifikate
bereits benutzt wurden, ist unbekannt, ein Patch von Microsoft ist
nach Angaben aus Redmond in Arbeit.
MS Security Bulletin"Königliche Scheiße"
Was Verisign angeht, so wurde nicht nur bei Ausgabe der Zertifikate an angebliche Mitarbeiter von Microsoft geschlampt.
Der Weltmarktführer bei digitalen Signaturen hat in seine Zertifikate keinen automatischen Rückcheck eingebaut, ob diese überhaupt noch gültig sind.
Wer prüft schon vor der Software-Installation von MS signierte Verisign-Zertifikate manuell noch einmal nach? Das fragt sich nicht nur Russ Cooper, Moderator der bekannten NTbugtraq-Mailing-List, der den Fall mit "Verisign hat königliche Scheiße gebaut" zusammenfasst.