Дыра в IE позволяет подделать сертификат безопасности

Author:

Вячеслав Ансимов

Немецкий веб-разработчик E-matters на прошлой неделе обнаружил в браузере Internet Explorer очередную дыру, позволяющую злоумышленникам успешно подделывать цифровые сертификаты, предаваемые по протоколу безопасности SSL (secure socket layer). Информация о дыре была передана в Microsoft еще в ноябре, однако патч до сих пор не готов.

Цифровой сертификат пересылается от сайта к пользователю и служит свидетельством подлинности и надежности источника информации. То есть сайт в настоящее время действительно принадлежит компании, заявленной в сертификате, выданном компетентной организацией на заданный срок. Получив такой сертификат, пользователь может, например, разрешить передачу на свой компьютер и активизацию различных выполняемых кодов или, в свою очередь, предоставить компании какие-либо конфиденциальные данные. Подделав сертификат, все эти действия может инициировать и злоумышленник.

Дыра в IE с 5 по 6 версий была обнаружена 26 ноября, о чем Microsoft сразу же была поставлена в известность. Корпорация попросила не разглашать информацию до выхода патча, на разработку которого потребуется некоторое время. Однако патч до сих пор не вышел. Вместо этого Microsoft присылает E-matters некие сложные и пространные описания и разъяснения, проверить которые без исходного кода IE невозможно.

Сразу поле Рождества 25 декабря E-matters стало известно, что такого же типа дыра была обнаружена компанией ACROS два года назад. Спустя полгода Microsoft все же изготовила патч для IE 4 и ранней версии 5.0. Однако последующие версии снова оказались дырявыми.

Пока не выпущена заплатка, распознать подделку можно лишь визуально: домен, указанный в сертификате, не будет совпадать с фактическим адресом сайта.

Функция Authenticode, реализующая работу с цифровыми сертификатами в IE, автоматически такую проверку не делает. А проверять сертификаты в “ручном” режиме будут только параноики, отметил обнаруживший дыру Штэфан Эссер.

ССЫЛКИ ПО ТЕМЕ


Microsoft Browser Slips Up On SSL Certificates v Report – Newsbytes, 26.12.01

IE https certificate attack – E-matters, 22.12.01

МАТЕРИАЛЫ ПО ТЕМЕ


Microsoft закрыла все дырки17.12.01


Новая дыра от Microsoft: ваши cookies может читать кто угодно12.11.01


Microsoft пускает в Сеть только со своим браузером29.10.01


Подмена настроек браузера: ответный удар Yahoo!23.10.01


Вячеслав Ансимов
“Рамблер” и SpyLOG готовы к IE 6, обрезающему cookies28.08.01


Заплатка к браузеру IE запретила смотреть “Звездные войны”16.08.01


“Дыры” в Internet Explorer уже никого не удивляют27.09.00