Krangler om Windows-hull

Microsoft er ikke en gang sikker på om det eksisterer.

Apple hevder ifølge Infoworld at selskapet ikke kan rette et sikkerhetsproblem knyttet til x.509 sertifikater i Windows-versjonen av Safari, fordi nettleseren avhenger av funksjonalitet som Microsoft nøler med å erklære som sårbar.

Sikkerhetsproblemet har vært kjent siden sikkerhetsekspertene Dan Kaminsky og Moxie Marlinspike offentliggjorde det i juli i år. Mer informasjon finnes i dette dokumentet.

Sårbarheten kan utnyttes av man-in-the-middle-angripere som forsøker å narre nettleseren til å opprette SSL-økter til ondsinnede servere i stedet for til de legitinme serverne brukere ønsker tilgang til.

Siden den tid har problemet blitt rettet i Mac-versjonen av Safari, samt i alle fall i Firefox 3.5 og Opera 10, som tydeligvis ikke avhenger av denne Windows-funksjonaliteten. Internet Explorer skal også være berørt av sårbarheten, men den skal ifølge Marlinspike være vanskelige å utnytte i dette tilfellet enn øvrige nettlesere.

Til tross for at det snart er to måneder siden Kaminsky og Marlinspike beskrev problemet, har Microsoft ennå ikke avgjort om sårbarheten faktisk finnes i Windows.

- Microsoft undersøker for tiden en mulig sårbarhet i Microsoft Windows. Så snart vår undersøkelse er fullført, vil vi gjøre det som er passende for å bidra til å beskytte våre kunder. Vi har ikke mer å meddele på dette tidspunkt, skriver Microsoft i en e-post til Infoworld.

Ifølge Marlinspike er ikke sårbarheten begrenset til nettlesere, men berører også annen type programvare som benytter SSL. Dette inkluderer klienter for e-post, lynmedinger, VPN og mye annet.

Til toppen