Нетоскоп / Новости / Дыра в IE позволяет подделать сертификат безопасности

		Нетоскоп/Новости/28.12.2001 http://www.netoscope.ru/news/2001/12/28/4456.html Дыра в IE позволяет подделать сертификат безопасности Вячеслав Ансимов 28.12.2001 19:04

Немецкий веб-разработчик E-matters на прошлой неделе обнаружил в браузере Internet Explorer очередную дыру, позволяющую злоумышленникам успешно подделывать цифровые сертификаты, предаваемые по протоколу безопасности SSL (secure socket layer). Информация о дыре была передана в Microsoft еще в ноябре, однако патч до сих пор не готов.

Цифровой сертификат пересылается от сайта к пользователю и служит свидетельством подлинности и надежности источника информации. То есть сайт в настоящее время действительно принадлежит компании, заявленной в сертификате, выданном компетентной организацией на заданный срок. Получив такой сертификат, пользователь может, например, разрешить передачу на свой компьютер и активизацию различных выполняемых кодов или, в свою очередь, предоставить компании какие-либо конфиденциальные данные. Подделав сертификат, все эти действия может инициировать и злоумышленник.

Дыра в IE с 5 по 6 версий была обнаружена 26 ноября, о чем Microsoft сразу же была поставлена в известность. Корпорация попросила не разглашать информацию до выхода патча, на разработку которого потребуется некоторое время. Однако патч до сих пор не вышел. Вместо этого Microsoft присылает E-matters некие сложные и пространные описания и разъяснения, проверить которые без исходного кода IE невозможно.

Сразу поле Рождества 25 декабря E-matters стало известно, что такого же типа дыра была обнаружена компанией ACROS два года назад. Спустя полгода Microsoft все же изготовила патч для IE 4 и ранней версии 5.0. Однако последующие версии снова оказались дырявыми.

Пока не выпущена заплатка, распознать подделку можно лишь визуально: домен, указанный в сертификате, не будет совпадать с фактическим адресом сайта.

Функция Authenticode, реализующая работу с цифровыми сертификатами в IE, автоматически такую проверку не делает. А проверять сертификаты в "ручном" режиме будут только параноики, отметил обнаруживший дыру Штэфан Эссер.