Nowy błąd w Internet Explorerze dotyczy certyfikatów bezpieczeństwa

Luka ta może być wykorzystana przez niepowołane osoby do przechwycenia poufnych danych użytkownika, takich jak numer karty płatniczej czy inne dane osobowe.

CERT (Computer Emergency Response Team), międzynarodowa instytucja zajmująca się bezpieczeństwem sieci, ostrzega o nowym błędzie związanym z bezpieczeństwem, wykrytym w przeglądarce Internet Explorer. Luka ta może być wykorzystana przez niepowołane osoby do przechwycenia poufnych danych użytkownika, takich jak numer karty płatniczej czy inne dane osobowe.

Problem wiąże się z błędnym rozpoznawaniem przez IE certyfikatów cyfrowych, jakimi opatrywane są bezpieczne strony WWW. Luka ta może być wykorzystana przez nieuczciwego operatora stron WWW do zmuszenia przeglądarki, aby ta traktowała jego dzieło jak strony gwarantujące bezpieczeństwo.

Przeglądarki internetowe, takie jak IE i Netscape Navigator, rozpoznają moment, kiedy zostaje nawiązane połączenie z użyciem szyfrowania protokołem SSL. Jednakże przeglądarka Microsoftu, gdy nawiązanie połączenia SSL zostało zainicjowane w ramce lub przez kliknięcie obrazka, sprawdza jedynie istnienie certyfikatu, nie potwierdzając jego ważności ani tego, czy został wystawiony dla serwera, z którym jest połączony użytkownik. Ponadto jeśli pierwsza weryfikacja ważności certyfikatu na danym serwerze została zakończona pomyślnie, to Explorer nie sprawdza ważności kolejnych certyfikatów odbieranych podczas tej samej sesji przeglądarki.

Problem dotyczy Explorera w wersjach 4.0, 4.01, 5.0 oraz 5.01. Jednak, według Microsoftu, możliwości wykorzystania luki przez niepowołane osoby są znacznie ograniczone. Osoba taka musiałaby przekierować nazwę domeny na inny serwer lub fizycznie zastąpić go nowym.

Producent z Redmond udostępnił już odpowiednią poprawkę, niwelującą problem, pod adresem

www.microsoft.com/windows/ie/download/critical/patch7.htm.

Ponadto przedstawiciele CERT zalecają internautom zwracanie szczególnej uwagi na połączenia SSL, w tym sprawdzanie szczegółowych informacji o certyfikacie. Istotne jest np. to, czy certyfikat rzeczywiście został wydany organizacji czy firmie, która jest operatorem serwisu internetowego, któremu użytkownik powierza swoje dane.