Wie das Wall Street Journal berichtet, ist eine SSL-Sicherheitslücke in Microsofts Internet Explorer bekannt geworden. Der Fehler führt dazu, dass der Internet Explorer nicht in der Lage ist, digitale Site-Zertifikate bestimmter "Unterunternehmer" von großen Anbietern (so genannte "Certificate Authority" wie z.B. CERT, VeriSign) korrekt zu überprüfen. So könnte der Besitzer eines gültigen Zertifikats für eine Website dadurch Echtheitsbestätigungen anderer Sites fälschen und sich für diese Web-Seiten ausgeben. Mangelhafte Prüfung Der Fehler betrifft nur den IE 5.0, 5.5 sowie teilweise auch Version 6 und beruht auf einer mangelhaften Prüfung der SSL-Zertifikate durch den Browser. Ein Beispiel, wie diese Lücke ausgenützt werden kann um Login-Informationen zu erschwindeln, finden Sie hier , weitere Informationen bietet BugTraq: IE SSL Vulnerability. Das Problem solte tatsächlich nicht auf die leichte Schulter genommen werden, für den Chief Technology Officer des Sicherheitsunternehmens Counterpane ist der Bug sogar eines der schlimmsten kryptografischen Löcher seit langem. Pretty Good Privacy? Auch in der Verschlüsselungssoftware Pretty Good Privacy (PGP) entdeckten Wissenschaftler der Columbia University eine Sicherheitslücke. Dazu muss ein verschlüssseltes Mail abgefangen und auf eine nicht näher beschriebene Art und Weise modifiziert werden. Der Empfänger erhält zwar nur wirre Zeichen, würde er diese aber an den Angreifer zurücksenden, könnte dieser auch angeblich ohne den PGP-Key daraus das ursprüngliche Mail rekonstruieren. Nähere Informationen zu dem Verfahren finden Sie hier . Obwohl diese Attacke eher unwahrscheinlich erscheint, wurde die freie Version OpenPGP bereits dagegen abgesichert. (red)