Nieuws
image

Mozilla patcht SSL-lek in Thunderbird

vrijdag 21 augustus 2009, 09:19 door Redactie, 3 reacties

Mozilla heeft de dertiende beveiligingsupdate voor Thunderbird 2 uitgebracht die een probleem met SSL-certificaten oplost. De kwetsbaarheid werd eerder al in Firefox gepatcht en zorgde ervoor dat aanvallers valse certificaten konden gebruiken om versleutelde communicatie tussen een client en server te onderscheppen of veranderen, bijvoorbeeld in het geval bij financiele transacties, aldus Mozilla.

Het probleem is dat aanvallers een SSL-certificaat met een null karakter kunnen aanvragen, bijvoorbeeld Paypal.com\0.nepsite.com. Niet alleen keurt de uitgevende Certificate Authority dit goed, de SSL-client negeert de karakters na het null karakter. Daardoor kunnen phishers SSL-certificaten voor legitieme websites aanvragen die niet van henzelf zijn. Het probleem werd door beveiligingsonderzoekers Dan Kaminsky en Moxie Marlinspike ontdekt. Updaten naar Thunderbird 2.0.0.23 kan via deze pagina.

Reacties (3)
21-08-2009, 12:27 door Anoniem
Nee, deze pagina: http://www.mozilla-europe.org/nl/products/thunderbird/

Welke volstrekte dwaas linkt er in vredesnaam in Nederland naar de US-pagina. Stelletje digibeten.
21-08-2009, 14:41 door Anoniem
Digibeten gebruiken juist de Nederlandse versies van software.
21-08-2009, 19:06 door cyberpunk
Door Anoniem: Nee, deze pagina: http://www.mozilla-europe.org/nl/products/thunderbird/

Welke volstrekte dwaas linkt er in vredesnaam in Nederland naar de US-pagina. Stelletje digibeten.

Alle software op mijn XP is in het Engels. Leuk toch, zo'n link naar http://www.mozillamessaging.com/en-US/thunderbird/2.0.0.23/releasenotes/ !?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure