Neuer Windows-Patch verhindert Besuch sicherer Websites

Wird im Internet per Kreditkarte bestellt, geschieht dies meist über Webseiten, die mit dem HTTPS-Protokoll (Hypertext Transfer Protocol Secure) verschlüsselt sind. So wird verhindert, dass die Daten ungewollt von Dritten eingesehen werden können. Letzte Woche veröffentlichte Microsoft den Patch MS04-011 [1], der insgesamt 14 Lücken in verschiedenen Windows-Versionen behebt – darunter auch ein Problem mit der SSL-Verschlüsselung. Wie diverse Anwender auf der Sicherheitsmailingliste Full-Disclosure [2] melden, ist das Microsoft-Update aber leider fehlerhaft. Es setzt den Wert der Verschlüsselungsstärke (einsehbar unter dem Menüpunkt «?/Info») von 128 Bit auf 0. Dadurch können Webseiten, die mit HTTPS verschlüsselt sind, nicht mehr besucht werden. Von dem Problem betroffen sind anscheinend nur Anwender mit Windows Server 2003. Wer dieses Betriebssystem benutzt, sollte den neuen Sicherheits-Patch trotz dieses Fehlers nicht deinstallieren. Es sind bereits erste «Exploits» im Netz aufgetaucht, mit denen über die ungepatchte SSL-Lücke der Rechner zum Absturz gebracht werden kann. Als Lösung empfiehlt sich vielmehr, für HTTPS-Seiten vorübergehend einen anderen Browser wie Mozilla [3] oder Opera [4] zu verwenden und darauf zu hoffen, dass Microsoft das Problem so schnell wie möglich löst.