Немецкий веб-разработчик на прошлой неделе обнаружил в браузере Internet Explorer очередную дыру, позволяющую злоумышленникам успешно подделывать цифровые сертификаты, предаваемые по протоколу безопасности SSL (secure socket layer). Информация о дыре была передана в Microsoft еще в ноябре, однако патч до сих пор не готов.
Цифровой сертификат пересылается от сайта к пользователю и служит свидетельством подлинности и надежности источника информации. То есть сайт в настоящее время действительно принадлежит компании, заявленной в сертификате, выданном компетентной организацией на заданный срок. Получив такой сертификат, пользователь может, например, разрешить передачу на свой компьютер и активизацию различных выполняемых кодов или, в свою очередь, предоставить компании какие-либо конфиденциальные данные. Подделав сертификат, все эти действия может инициировать и злоумышленник.
Дыра в IE с 5 по 6 версий была обнаружена 26 ноября, о чем Microsoft сразу же была поставлена в известность. Корпорация попросила не разглашать информацию до выхода патча, на разработку которого потребуется некоторое время. Однако патч до сих пор не вышел. Вместо этого Microsoft присылает E-matters некие сложные и пространные описания и разъяснения, проверить которые без исходного кода IE невозможно.
Сразу поле Рождества 25 декабря E-matters стало известно, что такого же типа дыра была обнаружена компанией два года назад. Спустя полгода Microsoft все же изготовила патч для IE 4 и ранней версии 5.0. Однако последующие версии снова оказались дырявыми.
Пока не выпущена заплатка, распознать подделку можно лишь визуально: домен, указанный в сертификате, не будет совпадать с фактическим адресом сайта.
Функция Authenticode, реализующая работу с цифровыми сертификатами в IE, автоматически такую проверку не делает. А проверять сертификаты в "ручном" режиме будут только параноики, отметил обнаруживший дыру Штэфан Эссер.
Copyright © 2000-2002 Нетоскоп