Microsoft warnt vor falsch ausgestellten SSL-Zertifikaten und stellt Lösung bereit
Aktuell sind zwar keine Angriffe darüber bekannt, Microsoft informiert aber über nicht ordnungsgemäß ausgestellte SSL-Zertifikate, die Phishing, Man-in-the-Middle-Angriffe und das Vortäuschen von Inhalten ermöglichen. Betroffen sind alle Windows Versionen ab Windows Vista, eine Lösung steht für die meisten Versionen ebenfalls bereit. Lediglich für Windows Server 2003 gibt es aktuell noch keine Aktualisierung, diese möchte Microsoft aber nachreichen. Eine Auflistung aller betroffenen Software-Versionen und Geräte findet man bei Microsoft.
Folgende Domains sind von der möglichen Bedrohung betroffen:google.com, mail.google.com, gmail.com, www.gmail.com, m.gmail.com, smtp.gmail.com, pop.gmail.com, imap.gmail.com, googlemail.com, www.googlemail.com, smtp.googlemail.com, pop.googlemail.com, imap.googlemail.com, gstatic.com, ssl.gstatic.com, www.static.com, verschlüsselte tbn1.gstatic.com, verschlüsselte tbn2.gstatic.com, login.yahoo.com, mail.yahoo.com, mail.yahoo-inc.com, fb.member.yahoo.com, login.korea.yahoo.com, api.reg.yahoo.com, edit.yahoo.com, watchlist.yahoo.com, edit.india.yahoo.com, edit.korea.yahoo.com, edit.europe.yahoo.com, edit.singapore.yahoo.com, edit.tpe.yahoo.com, legalredirect.yahoo.com, me.yahoo.com, open.login.yahooapis.com, subscribe.yahoo.com, edit.secure.yahoo.com, edit.client.yahoo.com, bt.edit.client.yahoo.com, verizon.edit.client.yahoo.com, na.edit.client.yahoo.com, au.api.reg.yahoo.com, au.reg.yahoo.com, profile.yahoo.com, static.profile.yahoo.com und openid.yahoo.com.
Ihr seht, es sind Google und Yahoo betroffen, unter anderem auch die Mail-Dienste beider Anbieter. Auch wenn Microsoft sagt, dass bisher keine Angriffe beobachtet wurden, solltet Ihr das entsprechende Update einspielen, sofern Ihr nicht vom automatischen Update Gebrauch macht. Automatisch ist das Update für Windows 8, Windows 8.1, Windows Phone 8 und Windows Phone 8.1 verfügbar.
Der automatische Updater kann auch unter Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2 verfügbar sein. In diesem Fall muss der Nutzer ebenfalls nichts machen. Ist der Updater nicht vorhanden, muss dieser installiert werden. Die genaue Vorgehensweise für betroffene Versionen entnehmt Ihr bitte ebenfalls dem Artikel bei Microsoft.
Microsoft betont auch, dass der Fehler nicht bei Microsoft liegt und man sich durch die Updates trotzdem um den Schutz der Nutzer kümmert. Vielleicht klappt es in diesem Fall unproblematischer, als bei der Übernahme von DynDNS Domains.
Hab mir das Update für win7(x86)gehollt und versucht zu
installieren,bekomme nur die Antowort dieses Update
ist nicht geignet für diesen Computer,kann mir das mal
einer erklären,
Naja dann hast du das falsche runtergeladen. Mache einfach das a zu automatische update. Dann kümmert sich das System darum
Gut das Microsoft nur noch im business vertreten ist. Private Anwender die eigentlich kein WIndows mehr kaufen sind dann wohl weniger betroffen.
@Tschaka: Private Anwender kaufen sehr wohl Windows. Und Microsoft trifft ja keine Schuld wenn ein Indischer CA ein falsches Zertifikat ausstellt.
@Tschaka: was hat das mit Privat und Business zu tun? Deiner Logik nach zu urteilen, würden alle privaten PCs mit Linux oder einem anderen nicht-Microsoft-OS laufen. Hm, irgendwie glaube ich das nicht so wirklich oder bin ich mit einem privaten Windows 8 eine Ausnahme? 😀
@Lucien: wieso sollte man sich ein Update separat herunterladen? Dafür gibt es doch „Windows Update“. Oder verwendest Du etwa eine „Sicherheitskopie“, so daß autom. Updates nicht funktionieren?
@lucien: Diese Updates sind nur für Computer, die aus bestimmten Gründen keine automatischen Updates beziehen. (Das hat nichts mit Raubkopien zu tun) Auf diesen Maschinen wird die „Lokale Sicherheitsrichtlinie“ mit u.a. den Stammzertifikatelisten manuell gepflegt.
Ich gehe davon aus, dass die betroffenen alsbald auf der CRL (Certificate Revocation List) landen und diese via OSCP nicht mehr anerkannt werden.
Fazit: Zurücklehnen und das automatische Update abwarten.
P.S.: Aus Gründen verkneife ich es mir, hier die Anleitung zur Umgehung zu verlinken. Die GPO ist nicht für Anwender gedacht.
Komischerweise habe ich das Problem auch auf einer Microsoft Seite.
https://outlook.office365.com/owa/?bO=1
Wenn ich auf meinen office365 Account zugreifen will, dann warnt mich der MSIE davor, dass irgendetwas mit dem Zertifikat nicht stimmt und das ich die Seite nicht besuchen soll.
Damit die automatische Aktualisierung auf Windoof kleiner 8 funktioniert, muss zuvor KB 2677070 oder KB 2813430 installiert werden. Siehe „Weitere Informationen“ auf folgender Seite:
https://support.microsoft.com/kb/2677070
@VisorOne: Hab bei deinem geposteten Link keine Probleme. Eventuell ist dein Systemdatum falsch?