Microsoft-Patch verhindert Verschlüsselung des Internet Explorer

Auf der Sicherheitsmailingliste Full Disclosure gibt es mehrere Postings, die darauf hinweisen, dass der jüngst im Security Bulletin MS04-011 empfohlene Sammelpatch -- zum mehrerer Sicherheitslücken in Windows -- die SSL-Verschlüsselung des Internet Explorer 6 unbrauchbar macht. In der Folge kann der Browser nicht mehr mit SSL-gesicherten Servern (https://) kommunizieren, da die Verschlüsselungsstärke nur mit 0 Bit verfügbar ist anstatt der nötigen 128 Bit.

Den Meldungen nach soll aber nur Windows Server 2003 von dem Problem betroffen sein. Der Knowledge Base Artikel 261328 widmet sich dem Problem, das in der Vergangenheit bereits unter Windows 95, 98 und ME aufgetreten ist. Die dort aufgeführte Lösung funktioniert allerdings nicht unter Windows Server 2003. Abhilfe schafft derzeit nur die De-Installation des kumulativen Patches. Allerdings bleiben dann 14 -- teilweise kritische -- Sicherheitslücken offen. Alternativ können Anwender auf andere Browser, etwa Mozilla oder Opera, zurückgreifen.

Auf Bugtraq ist derweil ein Proof-of-Concept-Exploit für die SSL-Sicherheitslücke unter Windows erschienen. Auf nicht gepatchte Rechner angewandt soll der Exploit zum Absturz des Systems führen. Insbesondere Microsofts Internet Information Server dürfte nun verstärktem Beschuss aus dem Internet ausgesetzt sein. Administratoren sollten, sofern noch nicht geschehen, den Patch aus MS04-011 installieren -- auch wenn das System Windows Server 2003 heißt.

Siehe dazu auch:

* Security Advisory auf Full Disclosure

(dab/c't)

quelle: http://www.heise.de/newsticker/meldung/46620

gruss saracs

Autsch, das ist aber ein böser Schnitzer. :shock: Danke dir für den Hinweis.

Damian

kleiner nachtrag:

http://www.microsoft.com/germany/ms/security/pctdisable.mspx

thx boardadmin für den link ;)

gruss saracs

Update: Nun gibt es auch einen KB Eintrag dazu:

MS04-011: Sicherheitsupdate für Microsoft Windows

http://support.microsoft.com/default.aspx?scid=kb;de;835732