Microsoft warnt vor Windows-Lücke
Microsoft hat vor einer Sicherheitslücke gewarnt, die fast alle Windows-Versionen betrifft und als "kritisch" [außer für Server] eingestuft wird.
Benutzer betroffener Produkte sollen den bereitgestellten Patch daher umgehend auf betroffenen Systemen installieren.
Betroffen sind Windows 98, Windows 98 Second Edition, Windows Millennium, Windows NT 4.0, Windows 2000 und Windows XP.
Microsoft Security Bulletin MS02-048Die Lücke
Sämtliche Versionen von Windows werden mit dem Active-X-Steuerelement "Certificate Enrollment Control" ausgeliefert. Dieses Steuerelement dient dazu, die Anfrage um Zertifikate webbasiert durchzuführen.
Das Steuerelement wird verwendet, um PKCS#10-Zertifikatsanfragen zu senden und, sobald das angefragte Zertifikat empfangen wird, dieses im persönlichen, lokalen Zertifikatsspeicher des Benutzers zu speichern.
Dieses Steuerelement enthält einen Fehler, der es einer Site "durch einen sehr komplexen Prozess" [MS] ermöglichen kann, ein Steuerelement so auszuführen, dass Zertifikate auf dem System des Benutzers gelöscht werden.
Ein Angreifer, der dieses Problem ausnutzt, kann Zertifikate wie Trusted-Root-, EFS-Verschlüsselungs-, E-Mail- und andere Zertifikate auf dem System des Benutzers zerstören und so diese Funktionen unbrauchbar machen.
Neben diesem Problem behebt der Patch ein ähnliches, aber weniger gravierendes Problem in der "SmartCard Enrollment Control". Diese Control wird mit Windows 2000 und Windows XP ausgeliefert, auch hier wird eine neue Control bereitgestellt.