image

Nep SSL-certificaat misleidt IE, Chrome en Safari

dinsdag 6 oktober 2009, 11:15 door Redactie, 5 reacties

Een beveiligingsonderzoeker heeft een nep SSL-certificaat voor PayPal.com gepubliceerd dat probleemloos door Internet Explorer, Safari en Google Chrome wordt geaccepteerd. Het certificaat van Tim Jones misbruikt een lek in de Microsoft CyptoAPI library die de drie browsers gebruiken. De kwetsbaarheid werd meer dan negen weken geleden tijdens de Black Hat conferentie al onthuld, maar de softwaregigant heeft het nog altijd niet gepatcht.

In combinatie met een andere tool SSLSniff, is het daardoor mogelijk een PayPal website voor te schotelen waarvan gebruikers niet kunnen achterhalen of die legitiem is of niet, ook al loopt die via HTTPs. Het probleem is dat de browser alle tekst na de \ en 0 (null) karakters negeert. Aanvallers kunnen een SSL certificaat voor een eigen website registreren en dan de domeinnaam van de website invoeren die ze willen vervalsen. Jones verwacht niet dat het certificaat kan worden teruggeroepen, aangezien lekken in het Online Certificate Status Protocol dat zeer lastig maken.

Game over
"Als je dit in combinatie met SSLSniff gebruikt is het game over", aldus Moxie Marlinspike, die in juli al demonstreerde hoe SSL-certificaten te vervalsen zijn. Hij is niet blij met de publicatie van het certificaat, wat hij "persoonlijk frustrerend" noemt. "Technisch echter, is het eerlijker dat Windows gebruikers risico lopen, omdat Microsoft het lek niet patcht." De kwetsbaarheid werd een aantal dagen na Black Hat door Mozilla in Firefox wel gepatcht.

Reacties (5)
06-10-2009, 13:09 door spatieman
waarom patchen..
ze dwingen users gewoon tot een ander OS, waar het mischien wel gepatched word.
06-10-2009, 13:19 door Anoniem
Hier is dus vooral ook aangetoond dat de MS Windows versies van Chrome en Safari kwetsbaar zijn voor dit lek. Is er al bekend hoe het zit met de versies voor andere platformen?
06-10-2009, 15:45 door Anoniem
Dat kan helemaal niet. Chrome is de veiligste browser die er bestaat. Vraag maar aan Eerde. (proest!!)
06-10-2009, 16:30 door [Account Verwijderd]
[Verwijderd]
06-10-2009, 16:55 door prikkebeen
Door Anoniem: Hier is dus vooral ook aangetoond dat de MS Windows versies van Chrome en Safari kwetsbaar zijn voor dit lek. Is er al bekend hoe het zit met de versies voor andere platformen?


Het certificaat van Tim Jones misbruikt een lek in de Microsoft CyptoAPI library die de drie browsers gebruiken.

Het lijkt mij dat het alleen op het Windows platform gebeurt. Andere OS'en hebben hun eigen crypto libraries.

In het geval je het niet vertrouwd kun je Firefox installeren, die is gepatched en zit je op elk platform goed. Je kunt later altijd weer terug naar je favoriete browser. Er is op dit moment alleen een workaround, zoals hiervoor beschreven, beschikbaar.

Edit: Ook Opera is veilig. Zowel Firefox als Opera gebruiken niet de MS crypto api.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.