Microsoft hat den neuen Security Bulletin MS02-048 veröffentlicht, der einen Fehler in Certificate Enrollment Control beheben soll. Dieser kann zum Löschen von Digitalen Zertifikaten durch Angreifer führen. Der Softwarekonzern empfiehlt den Benutzer von folgenden Produkten - Microsoft Windows 98, Windows 98 Second Edition, Windows Millennium, Windows NT 4.0, Windows 2000 und Windows XP - die umgehende Installation des bereitgestellten Patches. Beschreibung des Problems Sämtliche Versionen von Windows werden mit dem Active X Steuerelement „Certificate Enrollment Control“ ausgeliefert. Dieses Steuerelement dient dazu, die Anfrage um Zertifikate webbasiert durchzuführen. Das Steuerelement wird verwendet, um PKCS #10 Zertifikatsanfragen zu senden und, sobald das angefragte Zertifikat empfangen wird, dieses im persönlichen, lokalen Zertifikatsspeicher des Benutzers zu speichern. Zertifikate können zerstört werden Das Steuerelement enthält einen Fehler, der es einer Webseite durch einen sehr komplexen Prozess ermöglichen kann ein Steuerelement so auszuführen, das Zertifikate auf dem System des Benutzers gelöscht werden. Ein Angreifer der dieses Problem ausnutzt, kann Zertifikate wie Trusted Root-, EFS Verschlüsselungs-, E-Mail- und andere Zertifikate auf dem System des Benutzers zerstören und so diese Funktionen unbrauchbar machen. Zwei "Angriffsarten" Ein Angreifer kann einen Angriff auf zwei Arten ausführen. Einerseits kann der Angreifer eine Webseite erstellen die dieses Problem nutzt, veröffentlichen und Benutzer die dieses Seite laden angreifen. Andererseits kann der Angreifer diese Seite per HTML E-Mail an den anzugreifenden Benutzer senden und den Angriff so durchführen.. Patch bereit gestellt Eine neue Version dieses Steuerelements ist für alle betroffenen Betriebssysteme erhältlich und kann über den bereitgestellten Patch installiert werden. Um den Patch zu installieren, wird der Internet Explorer in der Version 5 oder später benötigt. Administratoren die eine Webseite betreiben, die die „Certificate Enrollment Control“ verwenden, müssen kleine Änderungen in Ihrer Web-Applikation durchführen um das neue Steuerelement zu verwenden. Diese Änderungen werden im Knowledgbase Artikel Q323172 näher beschrieben. Neben diesem Problem behebt dieser Patch ein ähnliches, aber weniger gravierendes Problem in der „SmartCard Enrollment Control“. Diese Control wird mit Windows 2000 und Windows XP ausgeliefert, auch hier wird eine neue Control bereitgestellt. Einstufung des Problems Dieses Problem wird von Microsoft bei allen betroffenen Produkten sowohl für Intranet als auch Internet Server als niedrig eingestuft. Endsysteme (Clientsysteme) werden mit allen betroffenen Produkten als kritisch betroffen eingestuft.(red)