14.08.2002

OFFEN

Bildquelle: fuZo

IE und PGP mit Sicherheitslücken

Unabhängige Sicherheitsexperten haben eine schwere Sicherheitslücke in Microsofts Browser Internet Explorer sowie in der Krypto-Software PGP [Pretty Good Privacy] entdeckt.

Der Fehler im Internet Explorer existiert demnach bereits unentdeckt in Versionen, die seit fünf Jahren verfügbar sind, berichtet das US-Onlinemagazin "NandoTimes".

IE führt im deutschsprachigen Raum
89,3 Prozent der deutschsprachigen Online-User nutzen den Internet Explorer von Microsoft. Den einst führenden Internet-Browser von Netscape nutzt inzwischen nicht einmal mehr jeder zehnte User.

Internet Explorer weiter weit vor Netscape

Sensible Daten auslesen

Der Browser wird dadurch für so genannte "Man in the middle"-Attacken anfällig. Dabei kann ein Angreifer die Kommunikation zwischen dem Browser und einem Server belauschen und so sensible Daten abhören, die beispielsweise über Formulare in Online-Shops versandt werden.

Dabei sind auch Übertragungen über SSL-verschlüsselte [Secure Sockets Layer] Verbindungen nicht sicher, da der Browser die Gültigkeit von Zertifikaten zur Schlüsselherkunft nicht überprüft. Die Zertifikate werden von Security-Unternehmen ausgestellt und sollen eigentlich die Korrektheit des Ursprungs empfangener Daten bestätigen.

Jegliche Kommunikation mit dem Internet Explorer über https in der Vergangenheit muss daher als unsicher angesehen werden.

Zimmermann will PGP zurück
Anfang Juli hatte der PGP-Entwickler Philip R. Zimmermann den momentanen Besitzer Network Associates [NAI] dazu aufgefordert, PGP als Open Source zur Verfügung zu stellen. Zimmermann würde seine Entwicklung gerne zurückkaufen, verfügt aber nicht über ausreichende finanzielle Mittel. In der Veröffentlichung des Codes sieht er eine Alternative.

PGP soll Open-Source-Status erhalten

Verschlüsselte Nachrichten ändern

Über einen Fehler in der Implementierung von PGP ist es möglich, eine verschlüsselte Nachricht zu ändern, ohne sie vorher zu decodieren. Dies fanden Forscher beim Security-Unternehmen Counterpane Internet Security heraus.

So wäre es denkbar, eine E-Mail abzufangen, zusätzliche Informationen einzufügen und schließlich an den ursprünglichen Empfänger weiterzuleiten. Dieser müsste nun die Nachricht entschlüsseln, Anmerkungen hinzufügen und mit einem eigenen Key codiert an den Absender zurückschicken.

Das Problem liegt nun in einer grundsätzlichen Schwierigkeit der Kryptographie. Dem Angreifer ist ein Teil des Textes in der Nachricht bekannt. Wird dessen Position in der Antwort-Mail ausfindig gemacht, ist die Schwierigkeit für das Brechen der Verschlüsselung deutlich geringer als bei einem unbekannten Text.

Update ist ratsam
Es ist zwar nicht bekannt, das die Sicherheitslücke bereits real ausgenutzt werden konnte, ein Update auf die neuesten Versionen von PGP ist jedoch ratsam.

Download PGP