Anfang der Woche berichtete das Wall Street Jornal über ein SSl Problem im Internetexplorer. (Der Webstandard berichtete ) Der entdeckte Fehler führte dazu, dass der Internet Explorer nicht in der Lage ist, digitale Site-Zertifikate bestimmter "Unterunternehmer" von großen Anbietern (so genannte "Certificate Authority" wie z.B. CERT, VeriSign) korrekt zu überprüfen. So könnte der Besitzer eines gültigen Zertifikats für eine Website dadurch Echtheitsbestätigungen anderer Sites fälschen und sich für diese Web-Seiten ausgeben. Nicht nur der IE Wie Scott Culp von Microsofts Security Response Center berichtet, nutzt der Internet Explorer nur ein Application Programmers Interface (API) von Windows, um die Zertifikate zu verarbeiten. So dürfte mehr als nur der Browser betroffen sein, Patches werden für die Windows-Versionen 98, Me, NT 4.0, 2000 und XP erwartet. Microsoft beruhigt Microsoft scheint die Probleme vorerst aber noch nicht allzu ernst zu nehmen. Wie man im Presseservice des deutschen Internetauftritts des Softwaregiganten nachlesen kann, handelt es sich nur um eine "angeblichen Sicherheitslücke". Das erscheint verwunderlich, hat der Entdecker des Problems sogar an einem Beispiel gezeigt, wie die lückenhafte Überprüfung von SSL-Zertifikaten ausgenutzt werden kann. "Nach dem jetzigen Erkenntnisstand stellt das beschriebene Szenario in der Realität allerdings nur unter äußert unwahrscheinlichen Umständen eine Gefahr für die Datensicherheit der Anwender dar", stellt Microsoft klar. Patch gibt es noch keinen, dieser könnte allerdings folgen: "Sobald die Prüfung abgeschlossen ist und alle Fakten vorliegen, werden die notwendigen Schritte eingeleitet, um Kunden vor möglichen Risiken zu schützen". Selbst ist der User Microsoft betont, dass Anwender gefälschte Zertifikate jederzeit als Schwindel entlarven könnten: "Wenn er (der User) das Zertifikat überprüft, kann er leicht feststellen, dass es von einer Quelle ausgestellt wurde, die ihm überhaupt nicht bekannt ist". Dazu müssen AnwenderInnen allerdings gezielt bestimmte Befehle im Browser ausführen, der Internet Explorer liefert diese Informationen nämlich nicht von sich aus. (red)