Windows-brukere kan lures av falske nettbanker

En feil i alle Microsoft-systemer siden Windows 98 gjør at også andre nettlesere enn Internet Explorer kan lures av falske nettbanker.

I forrige uke oppdaget en uavhengig sikkerhetsekspert at Microsofts nettleser Internet Explorer ikke er tilstrekkelig grundig til å sjekke digitale sertifikater. Dette er sertifikater som brukes til å identifisere leverandører av følsomme tjenester over Internett, og til å opprette krypterte forbindelser for å verne overført informasjon mot uvedkommende, gjennom en såkalt SSL-forbindelse ("secure socket layer"). Det ble oppdaget, og siden bekreftet av Microsoft, at en som har et gyldig sertifikat kan gi seg ut for å være en annen tjeneste, uten å avsløres. Det innebærer blant annet at noen som har skaffet seg et gyldig sertifikat, kan opprette et nettsted som opptrer som en gyldig nettbank, og kapre informasjon som egentlig skulle gått til nettbanken.

Les også

Microsofts sikkerhetssjef Scott Culp sier til Network World at problemet ikke gjelder nettleseren, men en tjeneste forankret i Windows. Internet Explorer og andre nettlesere overlater sertifikatgodkjenningen til denne tjenesten. Det innebærer at selve operativsystemet må fikses for å rette opp feilen, og at det ikke vil nytte å verne seg gjennom å bytte nettleser, med mindre man velger en nettleser som kjører egen kode for å verifisere sertifikater.

Culp sier at klient-Windows 98, NT4, ME, 2000 Professional og XP må fikses. Ingen andre applikasjoner enn nettlesere rammes av sårbarheten.

Denne informasjonen er ennå ikke tilgjengelig direkte fra Microsofts sikkerhetsnettsted, og Culps uttalelser ser ikke ut til å være gjengitt andre steder enn i Network World. På Microsofts nettsted heter det fortsatt at feilen gjelder Internet Explorer, og at man er i ferd med å utvikle kode for å tette igjen sikkerhetshullet.

Til toppen