Digitale Signatur von Microsoft wurde geklaut
Wie in der Nacht auf heute bekannt wurde, haben Unbekannte, die sich als Mitarbeiter von Microsoft ausgaben, vom Marktführer für digitale Signaturen, Verisign, irrtümlich mindestens zwei Zertifikate erhalten, die durch Microsoft durch Signatur autorisiert sind.
Diese so genannten Class3-Digital-Certificates werden dazu benutzt, um Active X Controls, Makros und andere Programme zu signieren.
Damit soll sichergestellt werden, dass ein zum Beispiel via WWW übermitteltes Programm tatsächlich von Microsoft und nicht etwa von unbekannten Dritten stammt.
Viren als MS-Programme
Bereits seit Ende Jänner sind zwei Zertifikate im Umlauf, die etwa Viren oder Trojanern bescheinigen können, originale MS-Programme zu sein - unter der Bürgschaft Verisigns, gezeichnet durch einen echten Key von Microsoft.
Die Warnung von CERT
Grundsätzliche Dialogbox
Nur eine Dialogbox, in der von allgemeinen Chancen und Risiken digitaler Zertifikate die Rede ist, muss vor dem Installationsvorgang geklickt werden.
Zu bestätigen ist nur, dass man von Microsoft signierten Zertifikaten grundsätzlich traut.
Patch in Arbeit
Wozu die beiden mit 30. und 31. Jänner 2001 datierten Zertifikate bereits benutzt wurden, ist unbekannt, ein Patch von Microsoft ist nach Angaben aus Redmond in Arbeit.
MS Security Bulletin
"Königliche Scheiße"
Was Verisign angeht, so wurde nicht nur bei Ausgabe der Zertifikate an angebliche Mitarbeiter von Microsoft geschlampt.
Der Weltmarktführer bei digitalen Signaturen hat in seine Zertifikate keinen automatischen Rückcheck eingebaut, ob diese überhaupt noch gültig sind.
Wer prüft schon vor der Software-Installation von MS signierte Verisign-Zertifikate manuell noch einmal nach? Das fragt sich nicht nur Russ Cooper, Moderator der bekannten NTbugtraq-Mailing-List, der den Fall mit "Verisign hat königliche Scheiße gebaut" zusammenfasst.