Vorsicht beim Shoppen mit dem Internet Explorer

Der Internet Explorer hat ein neues Problem mit der Sicherheit. Trotz der bekundeten konsequenten Bemühungen Microsofts, die Benutzer ihres Browsers vor den Risiken des Internet zu schützen, kann es passieren, dass eine scheinbar sichere, verschlüsselte Verbindungen von Dritten belauscht wird. Solche https-URLs werden unter anderem für Bezahlung im Internet via Kreditkarte eingesetzt.

Bindet ein Angreifer in eine normale, ungesicherte Web-Seite ein Bild über einen https-URL ein, prüft der Internet Explorer zwar, ob das Zertifikat der Site von einer vertrauenswürdigen Institution wie Verisign unterschrieben ist. Er kontrolliert jedoch nicht, ob es auch tatsächlich für diese Web-Site ausgestellt ist.

Das ist noch kein Risiko, da die Seite selbst nicht als sicher gekennzeichnet ist. Ruft der Anwender jedoch danach eine scheinbar sichere Seite von diesem Server ab, erfolgt anscheinend gar keine Prüfung des bereits akzeptierten Zertifikats mehr. Nur wer das Zertifikat explizit selbst untersucht, bemerkt eventuell, dass die Namen nicht übereinstimmen.

Diesen laxen Umgang mit Zertifikaten kann ein Angreifer für eine so genannte Man-in-The-Middle-Attacke ausnutzen, bei der er dem Opfer ein falsches Zertifikat unterjubelt, um dessen verschlüsselte Daten mitzulesen. Dazu muss sich der Angreifer jedoch normalerweise im gleichen LAN wie sein Opfer befinden. Normalerweise warnt der Browser bei einer MITM-Attacke, dass mit dem Zertifikat etwas nicht in Ordnung ist. (Details zur Funktionsweise von Man-in-The-Middle-Attacken sind im c't-Artikel "Spionage am Arbeitsplatz", c't 12/01, S. 232 beschrieben).

Zum Sicherheitsloch der vergangenen Woche, das es Angreifern erlaubt, über den Internet Explorer beliebige lokale Dateien auszulesen, gibt es bisher immer noch keinen Kommentar auf Microsofts Sicherheitsseiten.