IE-Bug: Falsche Server-Verbindung

Damit können die Warnungen vor ungültigen SSL-Zertifikaten umgangen werden. Solche Warnungen sollen sicher stellen, dass der Anwender tatsächlich mit der gewünschten Website kommuniziert. Ansonsten kann es sein, dass sich der Browser mit einem Fake-Server verbindet, der eingerichtet wurde, um vertrauliche Informationen wie Kreditkartennummern oder Passwörter auszuspionieren.

Wie jetzt bekannt wurde, überprüft der Internet Explorer die Bedingungen für das Zertifikat nur bei der ersten Verbindung, die der Anwender mit einem bestimmten Server aufbaut, solange der Browser geöffnet ist. Erfüllt die Verbindung alle Auflagen, erfolgt jede erneute Verbindung mit der jeweiligen Website, ohne dass die Bedingungen erneut überprüft werden. Offenbar nimmt der IE an, dass ein SSL-geprüftes Zertifikat bei den nachfolgenden Besuchen seine Gültigkeit behält. Das ist jedoch nicht unbedingt der Fall.

Die zweite Sicherheitslücke besteht darin, dass der IE unter Umständen sogar bei der ersten SSL-Verbindung nicht alle drei Bedingungen checkt. Das ist etwa der Fall, wenn die SSL-Verbindung über ein Bild oder einen Frame erfolgt. Microsoft hat einen englischsprachigen Patch [1] heraus gegeben, der die Sicherheitslücken im IE 5.0 und 5.01 beheben soll. Er steht zum kostenlosen Download auf der Microsoft-Website bereit. Vor allem Anwendern, die Finanztransaktionen online durchführen, wird dringend geraten, den Patch herunterzuladen.