Microsoft warnt vor falsch ausgestellten SSL-Zertifikaten und stellt Lösung bereit

Aktuell sind zwar keine Angriffe darüber bekannt, Microsoft informiert aber über nicht ordnungsgemäß ausgestellte SSL-Zertifikate, die Phishing, Man-in-the-Middle-Angriffe und das Vortäuschen von Inhalten ermöglichen. Betroffen sind alle Windows Versionen ab Windows Vista, eine Lösung steht für die meisten Versionen ebenfalls bereit. Lediglich für Windows Server 2003 gibt es aktuell noch keine Aktualisierung, diese möchte Microsoft aber nachreichen. Eine Auflistung aller betroffenen Software-Versionen und Geräte findet man bei Microsoft.

microsoft_logo

Folgende Domains sind von der möglichen Bedrohung betroffen:google.com, mail.google.com, gmail.com, www.gmail.com, m.gmail.com, smtp.gmail.com, pop.gmail.com, imap.gmail.com, googlemail.com, www.googlemail.com, smtp.googlemail.com, pop.googlemail.com, imap.googlemail.com, gstatic.com, ssl.gstatic.com, www.static.com, verschlüsselte tbn1.gstatic.com, verschlüsselte tbn2.gstatic.com, login.yahoo.com, mail.yahoo.com, mail.yahoo-inc.com, fb.member.yahoo.com, login.korea.yahoo.com, api.reg.yahoo.com, edit.yahoo.com, watchlist.yahoo.com, edit.india.yahoo.com, edit.korea.yahoo.com, edit.europe.yahoo.com, edit.singapore.yahoo.com, edit.tpe.yahoo.com, legalredirect.yahoo.com, me.yahoo.com, open.login.yahooapis.com, subscribe.yahoo.com, edit.secure.yahoo.com, edit.client.yahoo.com, bt.edit.client.yahoo.com, verizon.edit.client.yahoo.com, na.edit.client.yahoo.com, au.api.reg.yahoo.com, au.reg.yahoo.com, profile.yahoo.com, static.profile.yahoo.com und openid.yahoo.com.

Ihr seht, es sind Google und Yahoo betroffen, unter anderem auch die Mail-Dienste beider Anbieter. Auch wenn Microsoft sagt, dass bisher keine Angriffe beobachtet wurden, solltet Ihr das entsprechende Update einspielen, sofern Ihr nicht vom automatischen Update Gebrauch macht. Automatisch ist das Update für Windows 8, Windows 8.1, Windows Phone 8 und Windows Phone 8.1 verfügbar.

Der automatische Updater kann auch unter Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2 verfügbar sein. In diesem Fall muss der Nutzer ebenfalls nichts machen. Ist der Updater nicht vorhanden, muss dieser installiert werden. Die genaue Vorgehensweise für betroffene Versionen entnehmt Ihr bitte ebenfalls dem Artikel bei Microsoft.

Microsoft betont auch, dass der Fehler nicht bei Microsoft liegt und man sich durch die Updates trotzdem um den Schutz der Nutzer kümmert. Vielleicht klappt es in diesem Fall unproblematischer, als bei der Übernahme von DynDNS Domains.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

9 Kommentare

  1. Hab mir das Update für win7(x86)gehollt und versucht zu
    installieren,bekomme nur die Antowort dieses Update
    ist nicht geignet für diesen Computer,kann mir das mal
    einer erklären,

  2. Naja dann hast du das falsche runtergeladen. Mache einfach das a zu automatische update. Dann kümmert sich das System darum

  3. Gut das Microsoft nur noch im business vertreten ist. Private Anwender die eigentlich kein WIndows mehr kaufen sind dann wohl weniger betroffen.

  4. @Tschaka: Private Anwender kaufen sehr wohl Windows. Und Microsoft trifft ja keine Schuld wenn ein Indischer CA ein falsches Zertifikat ausstellt.

  5. @Tschaka: was hat das mit Privat und Business zu tun? Deiner Logik nach zu urteilen, würden alle privaten PCs mit Linux oder einem anderen nicht-Microsoft-OS laufen. Hm, irgendwie glaube ich das nicht so wirklich oder bin ich mit einem privaten Windows 8 eine Ausnahme? 😀

    @Lucien: wieso sollte man sich ein Update separat herunterladen? Dafür gibt es doch „Windows Update“. Oder verwendest Du etwa eine „Sicherheitskopie“, so daß autom. Updates nicht funktionieren?

  6. Urs Ruetli says:

    @lucien: Diese Updates sind nur für Computer, die aus bestimmten Gründen keine automatischen Updates beziehen. (Das hat nichts mit Raubkopien zu tun) Auf diesen Maschinen wird die „Lokale Sicherheitsrichtlinie“ mit u.a. den Stammzertifikatelisten manuell gepflegt.
    Ich gehe davon aus, dass die betroffenen alsbald auf der CRL (Certificate Revocation List) landen und diese via OSCP nicht mehr anerkannt werden.
    Fazit: Zurücklehnen und das automatische Update abwarten.

    P.S.: Aus Gründen verkneife ich es mir, hier die Anleitung zur Umgehung zu verlinken. Die GPO ist nicht für Anwender gedacht.

  7. Komischerweise habe ich das Problem auch auf einer Microsoft Seite.

    https://outlook.office365.com/owa/?bO=1

    Wenn ich auf meinen office365 Account zugreifen will, dann warnt mich der MSIE davor, dass irgendetwas mit dem Zertifikat nicht stimmt und das ich die Seite nicht besuchen soll.

  8. Kubuntufrust says:

    Damit die automatische Aktualisierung auf Windoof kleiner 8 funktioniert, muss zuvor KB 2677070 oder KB 2813430 installiert werden. Siehe „Weitere Informationen“ auf folgender Seite:
    https://support.microsoft.com/kb/2677070

  9. @VisorOne: Hab bei deinem geposteten Link keine Probleme. Eventuell ist dein Systemdatum falsch?

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.