Ondsinnet nettsted kan slette dine digitale sertifikater

En feil i Windows åpner for at ActiveX-kode fra et nettsted eller html-formatert e-post kan slette digitale sertifikater på din PC.

Microsofts pågående kampanje for å rense Windows for sikkerhetshull avdekker nok en sårbarhet som krever at hundretalls millioner brukere må oppgradere sine systemer. Og enda en gang er det håndteringen av sikkerhetsordninger som er mangelfull.

Les også

I det tidligere avslørte tilfellet med "mellommann"-angrep mot nettbankbrukere, ligger feilen i Windows' håndtering av SSL-sertifikater. I går sendte Microsoft ut Security Bulletin MS02-048: Flaw in Certificate Enrollment Control Could Allow Deletion of Digital Certificates, altså en varsel om at en feil i Windows åpner for at en angriper vil kunne slette digitale sertifikater som lagres lokalt på din PC.

Feilen rammer Windows 98, Windows 98 SE, Windows ME, Windows NT 4.0, Windows 2000 og Windows XP. Brukere av disse systemene anbefales å oppgradere med en fiks som kan lastes ned fra den oppgitte lenken.

Det Microsoft har oppdaget, er at det er mulig å forme en ActiveX-kontroll og legge den inn i et html-dokument - en webside eller en e-postmelding - slik at lokalt lagrede digitale sertifikater blir slettet. Det betyr at dersom du bruker lokalt lagrede sertifikater til å kryptere e-post eller filer, bruke nettbank eller tilsvarende tjenester eller legitimere deg overfor et nettverk ved hjelp av et smartkort, kan angrepet føre til at du mister tilgangen til disse tjenestene. Dersom sertifikatet ikke er lagret lokalt, og i stedet lagres i en server eller et smartkort, vil sikkerhetshullet ikke kunne utnyttes.

Sårbarheten kan ikke utnyttes til å kopiere sertifikatene, bare til å slette eller gjøre dem ubrukelige.

Til toppen