Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 15/8/2002
Microsoft oplyser, at den nyligt opdagede sårbarhed med SSL-certifikater ligger i Windows, og ikke som ventet i Internet Explorer. Firmaet er ved at udvikle rettelser."Fejlen ligger i operativsystemets kryptering, så vi er nødt til at rette styresystemet," udtaler Scott Culp fra Microsofts sikkerhedscenter til bladet Network World.
Han oplyser endvidere, at fejlen ikke ligger i CryptoAPI, som er en programmeringsgrænseflade til kryptering.
Microsoft arbejder nu på fejlrettelser til Windows 98, ME, NT4, 2000 og XP. Firmaet kan ikke oplyse, hvornår det regner med, at fejlen er rettet.
SSL-certifikater bruges til at sikre, at man kommunikerer med den rigtige server, når man udveksler fortrolige oplysninger. Det kan for eksempel være et SSL-certifikat, der sikrer, at et web-bankprogram kommunikerer med bankens server.
Sårbarheden blev opdaget af sikkerhedsforskeren Mike Benham. Den har at gøre med måden, hvorpå browseren kontrollerer, at et certifikat er pålideligt. Mike Benham har påvist, at man kan indskyde et mellemliggende certifikat, som browseren tager for gode varer. På den måde kan man udstede falske certifikater til andres web-servere, uden at browseren slår alarm.
En lignende sårbarhed fandtes også i browseren Konqueror, men her er den blevet rettet.