Auch Microsoft schläft nicht

Microsoft flickt

Nach den Browser-Herstellern hat sich auch Microsoft dazu entschieden, alle von der niederländischen Zertifizierungsstelle DigiNotar ausgestellten SSL-Zertifikate als nicht vertrauenswürdig einzustufen. Dazu liefern die Redmonder weltweit ein Sicherheitsupdate aus. Der Patch ist für alle Windows-Versionen inklusive Windows XP und Windows Server 2003 verfügbar, wie Microsoft in einem Security Advisory erläutert.

Die Auslieferung erfolgt über Windows Update. Auch über die Brisanz des SSL-Zertifikatsdiebstahls ist sich Microsoft bewusst: «Wir sehen in diesem Fall ein Problem, das die gesamte Industrie betrifft und arbeiten gemeinsam mit Zertifizierungsstellen, Regierungen und Software-Herstellern an einer Lösung», heisst es.

Windows Vista, Windows 7 und Windows Server 2008 aktualisieren die Liste mit gültigen Zertifikaten automatisch. Ab Windows Vista und höher wird alle sieben Tage überprüft, ob eine Änderung vorliegt. Laut Angaben von Microsoft waren damit die betreffenden Windows-Versionen zuletzt am 5. September von den 531 gestohlenen Zertifikaten von DigiNotar bedroht. Aufgrund der gefährlichen Situation hat Microsoft sich dazu entschieden, auch ältere Windows-Versionen mit einem Update zu versorgen. Windows XP und Windows Server 2003 nutzen eine statische Liste, die durch das Update aktualisiert wird.