Mozilla: Fehler in Browser erleichtert Man-in-the-Middle-Angriffe

Wegen eines Fehlers bei der Verarbeitung von SSL-Zertifikaten in auf Mozilla-Code basierenden Browsern, Konqueror und Safari 2 könnte es möglich sein, dass durch ein im Verlauf einer Session temporär akzeptiertes Zertifikat die Zertifikate für Phishing-Seiten als gültig erscheinen bzw. eine Fehlermeldung ausbleibt. Ursache der Schwachstelle sei die Art, wie die betroffenen Browser im Zertifikatsattribut subjectAltName enthaltene Domainnamen auswerten. Angeblich sei dieses Problem bereits seit Jahren bekannt. Hier geht es zu einer Demonstration des Problems via X.509 subjectAltName test page.

0 Kommentar(e)

Zum Posten von Kommentaren bitte