Les også
-
Svensk hacker demonstrerte nettbankinnbrudd
Kritiske sikkerhetsvarsler fra Microsoft
Windows-brukere kan lures av falske nettbanker
I det tidligere avslørte tilfellet med "mellommann"-angrep mot nettbankbrukere, ligger feilen i Windows' håndtering av SSL-sertifikater. I går sendte Microsoft ut Security Bulletin MS02-048: Flaw in Certificate Enrollment Control Could Allow Deletion of Digital Certificates, altså en varsel om at en feil i Windows åpner for at en angriper vil kunne slette digitale sertifikater som lagres lokalt på din PC.
Feilen rammer Windows 98, Windows 98 SE, Windows ME, Windows NT 4.0, Windows 2000 og Windows XP. Brukere av disse systemene anbefales å oppgradere med en fiks som kan lastes ned fra den oppgitte lenken.
Det Microsoft har oppdaget, er at det er mulig å forme en ActiveX-kontroll og legge den inn i et html-dokument - en webside eller en e-postmelding - slik at lokalt lagrede digitale sertifikater blir slettet. Det betyr at dersom du bruker lokalt lagrede sertifikater til å kryptere e-post eller filer, bruke nettbank eller tilsvarende tjenester eller legitimere deg overfor et nettverk ved hjelp av et smartkort, kan angrepet føre til at du mister tilgangen til disse tjenestene. Dersom sertifikatet ikke er lagret lokalt, og i stedet lagres i en server eller et smartkort, vil sikkerhetshullet ikke kunne utnyttes.
Sårbarheten kan ikke utnyttes til å kopiere sertifikatene, bare til å slette eller gjøre dem ubrukelige.
