Schweizer entdeckt Zertifikatsprobleme bei Mozilla

Der Schweizer Marcel Boesch hat im Rahmen einer Diplomarbeit an der ETH Zürich ein Problem in der Zertifikatsbehandlung durch Mozilla entdeckt, das dazu führen kann, dass der Anwender keine gesicherte Verbindung zu bestimmten Seiten mehr herstellen kann. Dies berichtet heise online. Ein Angreifer könne eine speziell präparierte E-Mail an sein Opfer schicken, die ein Zertifikat für eine Certification Authority (CA) enthält. Hat der Dateianhang den MIME-Typ "application/x-x509-email-cert", importiert Mozilla das Zertifikat, ohne dem Anwender eine Import-Dialogbox anzuzeigen. Trägt die gefälschte CA denselben Distinguished Name (DN) wie eine existierende, erhält Anwender dann beim Aufruf von bestimmten HTTPS-URLs eine Meldung über ungültige Zertifikate (error -8182). Der automatische CA-Import lasse sich zudem auch auf Web-Seiten auslösen. Auf seiner Website führt Boesch aus, dass die so möglichen Attacken zu Denial-of-Service-, Phishing- und Datenschutz-Problemen führen kann, welche "alle dazu führen können, der Anwender letzte Rate an Goodwill gegenüber PKI, SSL und sicherem Browsing zu zerstören." Das Problem betrifft Mozilla-Versionen bis hin zu 1.7.x und auch Firefox.