Web

 

Neue Lecks in PGP und IE

12.08.2002

MÜNCHEN (COMPUTERWOCHE) - Gleich zwei Meldungen von Sicherheitsexperten erregten über das vergangenen Wochenende Aufsehen. Bruce Schneier von Counterpane Internet Security und Jonathan Katz von der University of Maryland meldeten ein Leck in der Verschlüsselungssoftware Pretty Good Privacy (PGP). Dabei müsste ein Angreifer eine PGP-verschlüsselte E-Mail vor der Zustellung an den Empfänger abgreifen und verändern. Beim Versuch, die Botschaft zu dekodieren, erhielte der Empfänger nur wirre Zeichen. Würde er diese aber an den Angreifer zurücksenden, könnte dieser auch ohnen PGP-Key daraus die urspüngliche Mail rekonstruieren. Obwohl die Wahrscheinlichkeit einer solchen Attacke eher gering ist, wurde die freie Version OpenPGP laut Co-Autor Jonathan Callas bereits gegen diese Methode abgesichert.

Einen ziemlich bösen Bug im Microsoft-Browser "Internet Explorer" hat laut "Wall Street Journal" außerdem der Programmierer Mike Benham entdeckt. Dieser ist demnach nicht in der Lage, digitale Site-Zertifikate bestimmter "Subunternehmer" von großen Anbietern wie Verisign korrekt zu überprüfen. Der Besitzer eines gültigen Zertifikats für eine Web-Seite könnte dies missbrauchen, um Echtheitsbestätigungen anderer Sites zu fälschen und sich als diese auszugeben. Counterpane-CTO (Chief Technology Officer) Schneier nannte dies "eines der schlimmsten kryptografischen Löcher seit langem". Microsoft ist bereits im Bilde und untersucht das Problem. (tc)