Habe ich grade bei heise entdeckt:
Mozilla mit Zertifikatsproblemen
Der Schweizer Marcel Boesch hat im Rahmen seiner Diplomarbeit ein Problem in der Zertifikatsbehandlung des Web-Browsers Mozilla entdeckt, das dazu führen kann, dass der Anwender keine gesicherte Verbindung zu bestimmten Seiten mehr herstellen kann.
So kann ein Angreifer eine speziell präparierte E-Mail an sein Opfer schicken, die ein Zertifikat für eine Certification Authority (CA) enthält. Hat der Dateianhang den MIME-Typ "application/x-x509-email-cert", importiert Mozilla das Zertifikat, ohne dem Anwender eine Import-Dialogbox anzuzeigen. Trägt die gefälschte CA denselben Distinguished Name (DN) wie eine existierende, erhält Anwender dann beim Aufruf von bestimmten HTTPS-URLs eine Meldung über ungültige Zertifikate (error -8182). Der automatische CA-Import lässt sich auch auf Web-Seiten auslösen.
Das Problem betriftt Mozilla-Versionen bis hin zu 1.7.x und auch Firefox.