[HaBo]

Unabhängige Sicherheitsexperten haben erneut eine schwere Sicherheitslücke in Microsofts Browser Internet Explorer sowie in der Krypto-Software PGP entdeckt.

Der Fehler im Internet Explorer existiert bereits unentdeckt in Versionen, die seit fünf Jahren verfügbar sind. Der Browser wird dadurch für so genannte "man in the middle"- Attacken anfällig. Dabei kann ein Angreifer die Kommunikation zwischen dem Browser und einem Server belauschen und so sensible Daten abhören, die beispielsweise über Formulare in Online- Shops versandt werden.

Dabei sind auch Übertragungen über SSL-verschlüsselte Verbindungen nicht sicher, da der Browser die Gültigkeit von Zertifikaten zur Schlüsselherkunft nicht überprüft. Die Zertifikate werden von Security-Unternehmen ausgestellt und sollen die Korrektheit des Ursprungs empfangener Daten bestätigen. Jegliche Kommunikation mit dem Internet Explorer über https in der Vergangenheit muss daher als unsicher angesehen werden.

Über einen Fehler in der Implementierung von PGP ist es möglich, eine verschlüsselte Nachricht zu ändern, ohne sie vorher zu decodieren. Dies fanden Forscher beim Security-Unternehmen Counterpane Internet Security heraus. So wäre es denkbar, eine E-Mail abzufangen, zusätzliche Informationen einzufügen und schließlich an den ursprünglichen Empfänger weiterzuleiten. Dieser müsste nun die Nachricht entschlüsseln, Anmerkungen hinzufügen und mit einem eigenen Key codiert an den Absender zurückschicken. Dies ist im alltäglichen E-Mail-Verkehr Gang und Gäbe.

Das Problem liegt nun in einer grundsätzlichen Schwierigkeit der Kryptographie. Dem Angreifer ist ein Teil des Textes in der Nachricht bekannt. Wird dessen Position in der Antwort-Mail ausfindig gemacht, ist die Schwierigkeit für das Brechen der Verschlüsselung deutlich geringer als bei einem unbekannten Text. Es ist zwar nicht bekannt, das die Sicherheitslücke bereits real ausgenutzt werden konnte, ein Update auf gestern veröffentlichte sichere Versionen von PGP ist jedoch ratsam.