image

Fouten in MSIE en KDE openen mogelijkheid tot fraude

maandag 12 augustus 2002, 10:11 door Redactie, 9 reacties

Door programmeerfouten in Microsoft Internet Explorer en KDE's Konquerer is het mogelijk
dat kwaadwillenden hun site laten voordoen als een andere. Doordat niet alle eigenschappen van
SSL certificaten worden gecontroleerd, is het mogelijk certificaten met onjuiste
kenmerken toch als zijnde geldig te doen voorkomen. Hierdoor is het mogelijk een valse kopie van een
bekende site (bijvoorbeeld Girotel) op te zetten, waarbij de browser aangeeft dat het
hier een geldige site betreft. De valse site kan dan gegevens aan de gebruiker ontfutselen.
Lees er meer over op de Bugtraq mailinglist.

Reacties (9)
12-08-2002, 10:18 door Anoniem
Een aanrader zou dus moeten zijn om voorlopig geen gebruik te maken van OnLine diensten zoals: SNS-bank en Girotel, voordat er een patch is uitgegeven. Wel heel vervelend overigens, want er zijn zeer veel Nederlanders die gebruik maken van deze diensten.

Greutz.
sep.
12-08-2002, 11:05 door Anoniem
Tja, dus toch maar Netscape / Mozilla gaan gebruiken. Helpen we gelijk het IE-monopolie een beetje tegengaan.
12-08-2002, 11:09 door Anoniem
Dat is grappig, toen wij zo'n 1,5 jaar geleden aan de gang wilden gaan met 128-bit certificaten, toen ben ik er inderdaad achter gekomen dat dit het geval was, ik denk ook dat het stond gepubliceerd in een van de knowledgebases van Verisign, echter het probleem lag bij MS, die er het bestaan vanaf wist, maar hier eigenlijk niets op kon of wilde doen.

Het probleem doet zich alleen voor als het 128-bit certificaten zijn, uitgeleverd door een SUB-CA, bijv. KPN, KPN is een sub-CA van Verisign en betekent dus eigenlijk alle sites die een 128-bit certificaat van Verisign in gebruik hebben en van bijv. een sub-CA heeft ontvangen zoals KPN, heeft dit probleem.

Hierom hebben wij dus besloten dat wij geen 128-bit sub-CA certificaten zouden gebruikeen en zijn naar de concurrent van Verisign gestapt, Thawte (inmiddels opgekocht door Verisign) die 128-bit certificaten verkocht zonder tussenkomst van een sub-CA, we hebben hiermee meteen het probleem getackeld.

Wat ik wel graapig vind, ten we bezig waren met het kopen vandeze certificaten, zeiden de mensen van KPN, ja we weten ervan, maar het certificaat is goed, dus je kunt het gebruiken, we hadden het al aangeschaft, maar zij waren wel zo netjes om het geld terug te geven toen wij erop wezen dat wij ht niet wilde gebruiken.

Kortom gebruik voorlopig geen certificaten van 128-bit sterkte uitgegeven door een sub-CA, je kunt ze ook halen bij freessl.com.

Groet,

Shailes Nanda
12-08-2002, 14:29 door Anoniem
Originally posted by Unregistered
Dat is grappig, toen wij zo'n 1,5 jaar geleden aan de gang wilden gaan met 128-bit certificaten,

Waar heb je die gevonden?

Heb ik eindelijk 2048bit en 1024bit rsa aan de praat, blijkt dat allemaal niet nodig!
12-08-2002, 15:49 door Anoniem
Tja, dus toch maar Netscape / Mozilla gaan gebruiken. Helpen we gelijk het IE-monopolie een beetje tegengaan.

Gedeeltelijk waar :-( Mozilla is weer kwetsbaar voor andere holes tot versie 1.1 beta (win32 versie in ieder geval), en er is nog niet bewezen dat Moz NIET kwetsbaar is, alleen dat Moz niets lijkt te doen met een fake certificaat..
12-08-2002, 18:18 door Anoniem
Originally posted by Sjonnie


Waar heb je die gevonden?

Heb ik eindelijk 2048bit en 1024bit rsa aan de praat, blijkt dat allemaal niet nodig!
Sjonnie, er is een verschil tussen symmetrische en public key crypto sleutel lengtes. Dat moet jij toch weten!!
13-08-2002, 10:01 door Anoniem
Het feit dat Konqueror en M$ Internet Exploder DEZELFDE fout bevatten??

En ondertussen blijft Mickeysoft het vertikken PNG's een beetje degelijk te ondesteunen.... Maar wel andere shit uit andere projecten STELEN!!

Wat dat lijkt mij MEER dan duidelijk, toch? ....
13-08-2002, 18:56 door HyBriD VorTeX
Originally posted by Unregistered
En ondertussen blijft Mickeysoft het vertikken PNG's een beetje degelijk te ondesteunen.... Maar wel andere shit uit andere projecten STELEN!!

? werkt prima...
14-08-2002, 06:13 door Anoniem
Originally posted by septuaginta
Een aanrader zou dus moeten zijn om voorlopig geen gebruik te maken van OnLine diensten zoals: SNS-bank en Girotel, voordat er een patch is uitgegeven. Wel heel vervelend overigens, want er zijn zeer veel Nederlanders die gebruik maken van deze diensten.

Greutz.
sep.
======================

Voor alle zekerheid regel ik mijn bankzaken nu met Netscape af. Zolang Microsoft geen patch voorhanden heeft of deze niet wil maken, dan worden er geen financiele transacties via IE gedaan.

Pierpanda.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.