IE-brukere kan lures av falske nettbanker

En feil i Internet Explorers håndtering av SSL kan hindre brukeren fra å avsløre falske nettbanker.

For nøyaktig én uke siden la Mike Benham ut en melding på Bugtraq merket IE SSL Vulnerability. Seinere kommentarer til meldingen tyder på at Benham har oppdaget en vesentlig svakhet ved Microsofts nettleser Internet Explorer (IE).

SSL er den de facto standarden for å sikker kommunikasjon mellom en bruker og et nettsted, for eksempel en nettbank. Nettleserens oppgave er å sjekke det digitale sertifikatet til nettstedet, slik at man er absolutt sikker på at det faktisk er ens egen nettbank man har kontakt med.

Det Benham har oppdaget, er at i visse tilfeller er det mulig for innehaveren av et korrekt digitalt sertifikat å gi seg ut for å være et annet sertifisert nettsted. Internet Explorer sjekker om sertifikatet er gyldig eller ikke, men - i motsetning til for eksempel Netscape og Mozilla - er ikke tilstrekkelig grundig i å sjekke samsvar mellom nettsted og sertifikat.

Det innebærer at det er mulig for en ondsinnet person å opprette en tjeneste med et gyldig sertifikat, og så bruke dette sertifikatet til å kapre brukere av andre tjenester.

Benham demonstrerer sårbarheten på sitt nettsted.

Ifølge Wall Street Journal har Microsoft erkjent Behmans melding, og undersøker saken nærmere.

Til toppen