Microsoft heeft een nieuw probleem ontdekt in de manier waarop zijn Windows-besturingssysteem en de Internet Explorer webbrowser omgaan met digitale certificaten.
Daardoor wordt volgens Microsoft een ‘kritische’ kwetsbaarheid gecreëerd. Het bedrijf ontdekte dat CryptoAPI – het deel van Windows dat de digitale certificaten beheert – een aantal optionele velden in X.509-certificaten niet goed controleert. Daardoor kan een kraker zich een certificaat toeëigenen in naam van een legale gebruiker en vervolgens onder die vlag z’n gang gaan. Hij zou bijvoorbeeld een valse SSL e-handelssite kunnen opzetten onder de vlag van een goed aangeschreven bedrijf.
Het is de tweede keer in een week tijds dat Microsoft kritische kwetsbaarheden meldt die zijn gerelateerd aan digitale certificaten. In die certificaten liggen de encryptiesleutels opgeslagen voor Secure Sockets Layer-verkeer. Vorige week maakte het een veiligheidslek bekend waarmee het mogelijk is om op afstand digitale certificaten te verwijderen. Pc-gebruikers kunnen daarbij door het openen van een e-mailbericht zonder het te weten een Active-X-element activeren dat de deur naar de digitale certificaten wagenwijd openzet.
Het probleem dat nu is geconstateerd, is echter veel wijder verspreid. Het geldt niet alleen het Windows besturingssprogramma, vanaf versie 98, maar ook Internet Explorer, Office en Outlook Express op het Macintosh-platform van Apple. Zodra er patches voor het dichten van de veiligheidslekken zijn ontwikkeld, zullen die beschikbaar worden gesteld op de Microsoft-website. Inmiddels zijn op die site (http://www.microsoft.com/technet/) de patches te vinden voor de lekken die vorige week bekend werden.
