heise: Mozilla mit Zertifikatsproblemen

  • Habe ich grade bei heise entdeckt:

    Zitat

    Mozilla mit Zertifikatsproblemen

    Der Schweizer Marcel Boesch hat im Rahmen seiner Diplomarbeit ein Problem in der Zertifikatsbehandlung des Web-Browsers Mozilla entdeckt, das dazu führen kann, dass der Anwender keine gesicherte Verbindung zu bestimmten Seiten mehr herstellen kann.

    So kann ein Angreifer eine speziell präparierte E-Mail an sein Opfer schicken, die ein Zertifikat für eine Certification Authority (CA) enthält. Hat der Dateianhang den MIME-Typ "application/x-x509-email-cert", importiert Mozilla das Zertifikat, ohne dem Anwender eine Import-Dialogbox anzuzeigen. Trägt die gefälschte CA denselben Distinguished Name (DN) wie eine existierende, erhält Anwender dann beim Aufruf von bestimmten HTTPS-URLs eine Meldung über ungültige Zertifikate (error -8182). Der automatische CA-Import lässt sich auch auf Web-Seiten auslösen.

    Das Problem betriftt Mozilla-Versionen bis hin zu 1.7.x und auch Firefox.

  • Das wird bestimmt bis zum ersten RC des Firefox 1.0 gelöst werden. Wenn man bedenkt, was im IE schon alles für Sicherheitskrater gefunden wurden, dann ist das ein kleines Problemchen.