Web

Falsche Microsoft-Zertifkate von Verisign

23.03.2001
Verisign hat versehentlich einem Betrüger zwei digitale Zertifikate auf den Namen von Microsoft ausgestellt. Damit lassen sich bösartige Programme, ActiveX Controls oder Office-Makros als offizielle Microsoft-Produkte in Umlauf bringen.

MÜNCHEN (COMPUTERWOCHE) - Ein Betrüger, der sich als Mitarbeiter von Microsoft ausgab, hat im Namen des Unternehmens zwei digitale Zertifikate von Verisign erhalten. Mit diesen lassen sich theoretisch bösartige Windows-Anwendungen, ActiveX Controls oder Office-Makros im Rahmen des "Authenticode"-Verfahrens als offiziell von Microsoft stammend kennzeichnen und so in die IT gutgläubiger Unternehmen einschleusen. Betroffen sind alle 32-Bit-Versionen des Windows-Betriebssystems

In einem diesbezüglichen Security Bulletin kündigt die Gates-Company an, ein Patch werde derzeit entwickelt und in Kürze veröffentlicht. Außerdem habe man das FBI eingeschaltet, um den Zertifikatsfälscher dingfest zu machen.

Die gefälschten "Class-3"-Zertifikate wurden von Verisign bereits am 29. und 30. Januar dieses Jahres ausgestellt. Dass die Identität des Antragsstellers nicht überprüft wurde, ist laut Vice President und General Manager Mahi da Silva auf "menschliches Versagen" zurückzuführen. "Wir haben mit unserem Verfahren 500.000 digitale Zertifikate ausgestellt, und nur bei diesen zweien haben wir Kenntnis von einem Betrug", entschuldigt sich der Verisign-Mann.