Tien weken nadat op de Black Hat-conferentie in Las Vegas gedemonstreerd werd hoe een hacker gemakkelijk geautoriseerde SSL-certificaten kan vervalsen, is er nog geen oplossing. Populaire browsers zoals Internet Explorer, Safari en Chrome blijven kwetsbaar omdat Microsoft nog geen patch heeft uitgebracht voor de onderliggende kwetsbaarheid.

De bug bevindt zich in een programmeerinterface die bekend staat als CryptoAPI. De fout laat IE en andere applicaties denken dat ze met een veilig SSL-certificaat van doen hebben. De bug kan worden misbruikt om websites, VPN’s en emailservers te vervalsen. Dit kan gedaan worden om vooraan een https-adress de null-code ‘\0’ te plaatsen. Browsers stoppen dan met het lezen van de verdere url.

Bijna alles is kwetsbaar

“Duizenden producten die draaien op Windows zijn nog steeds kwetsbaar voor deze SSL-aanval. Als iemand een kwaadaardig null-code certificaat publiek maakt, dan ontstaan er problemen”, aldus de ‘white-hat’ hacker Moxie Marlinspike. “In principe is vrijwel alles wat op Windows draait kwetsbaar voor een enkel besmet certificaat.”

Tot de browsers die op de Microsoft-bibliotheek vertrouwen voor het afwikkelen van SSL-certificaten behoren naast Internet Explorer ook Chrome en Safari. Alle drie de browsers geven zonder foutmelding een vals geautoriseerde website weer. Firefox heeft, een week nadat de bug was gepresenteerd, de kwetsbaarheden in Firefox 3.0 en 3.5 wel verholpen.

Bron: Techworld.nl