Exportieren (0) Drucken
Alle erweitern

Microsoft-Sicherheitsempfehlung 2607712

Betrügerische digitale Zertifikate können Spoofing ermöglichen

Veröffentlicht: Montag, 29. August 2011 | Aktualisiert: Montag, 19. September 2011

Version: 5.0

Allgemeine Informationen

Kurzzusammenfassung

Microsoft ist sich aktiver Angriffe bewusst, bei denen mindestens ein betrügerisches digitales Zertifikat verwendet wird, das von DigiNotar herausgegeben wurde. Diese Zertifizierungsstelle ist im Speicher vertrauenswürdiger Stammzertifizierungsstellen vorhanden. Ein betrügerisches Zertifikat kann u. U. verwendet werden, um Inhalt nachzuahmen, Phishingangriffe durchzuführen oder Man-in-the-Middle-Angriffe gegen alle Webbrowser-Benutzer einschließlich Benutzern von Internet Explorer durchzuführen. Dies ist zwar keine Sicherheitsanfälligkeit in einem Microsoft-Produkt, doch dieses Problem betrifft alle unterstützten Veröffentlichungen von Microsoft Windows.

Microsoft setzt die Untersuchung dieses Problems fort. Auf Basis vorläufiger Untersuchungen stellt Microsoft am 13. September 2011 ein neues Update (KB2616676) für alle unterstützten Versionen von Microsoft Windows bereit, mit dem das Vertrauen in die folgenden Stammzertifikate von DigiNotar widerrufen wird, indem diese im Speicher nicht vertrauenswürdiger Zertifikate von Microsoft platziert werden:

  • DigiNotar Stammzertifizierungsstelle
  • DigiNotar Stammzertifizierungsstelle G2
  • DigiNotar PKIoverheid CA Overheid
  • DigiNotar PKIoverheid CA Organisatie - G2
  • DigiNotar PKIoverheid CA Overheid en Bedrijven
  • DigiNotar Stammzertifizierungsstelle, herausgegeben von Entrust (2 Zertifikate)
  • DigiNotar Services 1024 CA, herausgegeben von Entrust
  • DigiNotar Cyber CA, herausgegeben von GTE CyberTrust (3 Zertifikate)

Empfehlung. Microsoft empfiehlt Endbenutzern, das Update umgehend mit Updateverwaltungssoftware zu installieren bzw. mithilfe des Dienstes Microsoft Update auf Updates zu prüfen. Weitere Informationen finden Sie in dem Abschnitt Empfohlene Maßnahmen in dieser Empfehlung.

Bekannte Probleme. Im Microsoft Knowledge Base-Artikel 2616676 werden die derzeit bekannten Probleme dokumentiert, die durch die Installation dieses Updates unter Umständen auftreten können. Im Artikel werden auch Lösungen für diese Probleme empfohlen.

Details der Empfehlung

Problemverweise

Weitere Informationen zu diesem Problem finden Sie unter den folgenden Verweisen:

VerweiseIdentifizierung
Microsoft Knowledge Base-Artikel 2616676

Betroffene Software und Geräte

In dieser Empfehlung werden folgende Software und Geräte erörtert.

Betroffene Software
Windows XP Service Pack 3
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 mit SP2 für Itanium-basierte Systeme
Windows Vista Service Pack 2
Windows Vista x64 Edition Service Pack 2
Windows Server 2008 für 32-Bit-Systeme Service Pack 2*
Windows Server 2008 für x64-basierte Systeme Service Pack 2*
Windows Server 2008 für Itanium-basierte Systeme Service Pack 2
Windows 7 für 32-Bit Systeme und Windows 7 für 32-Bit Systeme Service Pack 1
Windows 7 für x64-basierte Systeme und Windows 7 für x64-basierte Systeme Service Pack 1
Windows Server 2008 R2 für x64-basierte Systeme und Windows Server 2008 R2 für x64-basierte Systeme Service Pack 1*
Windows Server 2008 R2 für Itanium-basierte Systeme und Windows Server 2008 R2 für Itanium-basierte Systeme Service Pack 1

*Die Server Core-Installation ist betroffen. Diese Sicherheitsempfehlung gilt für unterstützte Editionen von Windows Server 2008 oder Windows Server 2008 R2, unabhängig davon, ob bei der Installation die Server Core-Installationsoption verwendet wurde oder nicht. Weitere Informationen zu dieser Installationsoption finden Sie in den TechNet-Artikeln Verwalten einer Server Core-Installation und Wartung einer Server Core-Installation. Beachten Sie, dass die Server Core-Installationsoption für bestimmte Editionen von Windows Server 2008 und Windows Server 2008 R2 nicht gilt; siehe dazu Vergleichen von Server Core-Installationsoptionen.

Nicht betroffene Geräte
Windows Mobile 6.x
Windows Phone 7
Windows Phone 7.5

Warum wurde di ese Empfehlung am 19. September 20 1 1 überarbeitet?
Microsoft hat diese Empfehlung überarbeitet, um die erneute Veröffentlichung des Updates KB2616676 anzukündigen. Die erneute Veröffentlichung ist jetzt kumulativ und behebt ein bekanntes Problem, das in Microsoft Knowledge Base-Artikel 2616676 beschrieben ist. Dabei enthielt das ursprüngliche Update KB2616676 nur unter unterstützten Editionen von Windows XP und Windows Server 2003 nicht die digitalen Zertifikate, die in den Updates KB2607712 und KB2524375 enthalten sind.

Endbenutzer von unterstützten Editionen von Windows XP und Windows Server 2003 sollten die erneut veröffentlichte Version des Updates KB2616676 installieren, um gegen die Verwendung der betrügerischen Zertifikate geschützt zu sein, wie in dieser Empfehlung angegebenen. Endbenutzer von unterstützten Editionen von Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2 sind nicht von dieser erneuten Veröffentlichung betroffen.

Hinweis: Das Update wird Endbenutzern von unterstützten Editionen von Windows XP und Windows Server 2003 nicht angeboten, wenn die ursprünglichen Updates KB2616676, KB2607712 und KB2524375 bereits alle installiert wurden, da das erneut veröffentlichte Paket kumulativ ist und alle Änderungen dieser drei Updatepakete enthält.

Die Mehrheit der Benutzer hat die automatische Aktualisierung aktiviert und muss keine Maßnahmen ergreifen, da das erneut veröffentlichte Update KB2616676 automatisch heruntergeladen und installiert wird.

Ist Windows Developer Preview von diesem Problem betroffen?
Ja. Das Update KB2616676 ist für die Windows Developer Preview-Version verfügbar. Endbenutzer von Windows Developer Preview sind angehalten, das Update auf ihren Systemen zu installieren. Das Update ist nur auf Windows-Update verfügbar.

Weshalb wurde diese Empfehlung am 13. September 2011 überarbeitet?
Microsoft hat diese Empfehlung überarbeitet, um die Veröffentlichung des Updates KB2616676 anzukündigen, mit dem dieses Problem behoben wird. Mit dem Update werden sechs weitere Stammzertifikate von DigiNotar, die von Entrust oder GTE gegengezeichnet wurden, dem Speicher für nicht vertrauenswürdige Zertifikate von Microsoft hinzugefügt. Das Update KB2616676 ersetzt das Update KB2607712 und enthält ebenfalls die vorherigen fünf Stammzertifikate von DigiNotar, die mit dem Update KB2607712 dem Speicher für nicht vertrauenswürdige Zertifikate von Microsoft hinzugefügt wurden.

Obwohl das Update KB2616676 das Update KB2607712 ersetzt, ist das Update KB2607712 keine Voraussetzung für das Update KB2616676. Unabhängig davon, ob das Update KB2607712 installiert wurde, sollten Endbenutzer das Update KB2616676 installieren, um das in dieser Empfehlung beschriebene Problem zu beheben. Endbenutzer, die das Update KB2616676 installieren, müssen das Update KB2607712 nicht installieren.

Weshalb wurde diese Empfehlung am 6. September 2011 überarbeitet?
Microsoft hat diese Empfehlung überarbeitet, um die Veröffentlichung eines Updates anzukündigen, mit dem dieses Problem behoben wird. Mit dem Update werden dem Speicher für nicht vertrauenswürdige Zertifikate von Microsoft fünf Stammzertifikate von DigiNotar hinzugefügt. In der Regel ist keine Aktion von Benutzern erforderlich, um dieses Update zu installieren, da die Mehrheit der Benutzer automatisches Aktualisieren aktiviert hat und dieses Update automatisch heruntergeladen und installiert wird. Benutzer, die die automatische Aktualisierung nicht aktiviert haben, finden im Microsoft Knowledge Base-Artikel 2607712 weitere Informationen zum manuellen Installieren des Updates.

Am 29. August 2011 hat Microsoft das Vertrauen für ein Stammzertifikat von DigiNotar widerrufen, indem die Zertifikatvertrauensliste (CTL: Certificate Trust List) von Microsoft aktualisiert wurde. Warum veröffentlicht Microsoft ein Update?
Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2 verwenden die Microsoft-Zertifikatvertrauensliste, um das Vertrauen zu einer Zertifizierungsstelle zu überprüfen. Windows XP und Windows Server 2003 verwenden die Microsoft-Zertifikatvertrauensliste nicht, um das Vertrauen einer Zertifizierungsstelle zu überprüfen. Deshalb ist für alle Editionen von Windows XP und Windows Server 2003 ein Update erforderlich, um Endbenutzer zu schützen.

Nach der Aktualisierung der Zertifikatvertrauensliste (CTL: Certificate Trust List) am 29. August 2011 wurde Benutzern von Windows Vista, Windows 7, Windows Server 2008 und Windows Server 2008 R2, die auf eine Website zugriffen, die von einem nicht vertrauenswürdigen Stammzertifikat von DigiNotar signiert worden war, eine Warnmeldung angezeigt. Diese sagte aus, dass das Vertrauen des Zertifikats nicht überprüft werden konnte. Benutzer konnten diese Warnmeldung durch Klicken entfernen, um auf die Site zuzugreifen.

Um Endbenutzer umfassender gegen mögliche Man-in-the-Middle-Angriffe zu schützen, veröffentlicht Microsoft ein Update, in dem zusätzliche Maßnahmen zum Schutz von Endbenutzern enthalten sind. Diese Maßnahmen verhindern gänzlich, dass Benutzer von Internet Explorer auf Ressourcen von Websites zugreifen, die Zertifikate enthalten, die von den nicht vertrauenswürdigen DigiNotar Stammzertifikaten signiert wurden. Benutzern von Internet Explorer, die dieses Update installieren, wird eine Fehlermeldung angezeigt, wenn sie versuchen, auf eine Website zuzugreifen, die von einem der oben genannten Stammzertifikate von DigiNotar signiert wurde. Diese Benutzer können nicht mehr auf die Website zugreifen.

Was bewirkt das Update KB2616676 ?
Unter allen unterstützten Versionen von Microsoft Windows fügt das Update KB2616676 dem Speicher für nicht vertrauenswürdige Zertifikate von Microsoft elf Stammzertifikate von DigiNotar hinzu. Außerdem enthält das Update KB2616676 auch die Zertifikate aus dem Update KB2524375, das am 6. Juli 2011 veröffentlicht wurde.

Wie verändert dieses Update die Benutzerfreundlichkeit, wenn versucht wird, auf eine Website zuzugreifen, die mit TLS verschlüsselt und mit einem nicht vertrauenswürdigen Stammzertifikat von DigiNotar signiert wurde?
Benutzern von Internet Explorer, die versuchen, auf eine Website zuzugreifen, die mit einem nicht vertrauenswürdigen Stammzertifikat von DigiNotar signiert wurde, wird eine Fehlermeldung angezeigt. Aufgrund der Tatsache, dass sich dieses Zertifikat im Speicher für nicht vertrauenswürdige Zertifikate von Microsoft befindet, lässt Internet Explorer nicht zu, dass Benutzer auf die Website zugreifen. Die Website bleibt so lange nicht verfügbar, bis das Websitezertifikat durch ein neues Zertifikat ersetzt wird, das von einem vertrauenswürdigen Stammzertifikat signiert wurde.

Wie kann ich nach der Installation des Updates die Zertifikate im Speicher für nicht vertrauenswürdige Zertifikate von Microsoft überprüfen?
Weitere Informationen zum Anzeigen von Zertifikaten finden Sie in dem MSDN-Artikel Gewusst wie: Anzeigen von Zertifikaten mit dem MMC-Snap-In.

Überprüfen Sie im MMC-Snap-In „Zertifikate“, ob die folgenden Zertifikate dem Ordner Nicht vertrauenswürdige Zertifikate hinzugefügt wurden:

ZertifikatVeröffentlicht vonFingerabdruckUpdate*
DigiNotar StammzertifizierungsstelleDigiNotar Stammzertifizierungsstellec0 60 ed 44 cb d8 81 bd 0e f8 6c 0b a2 87 dd cf 81 67 47 8c KB2607712,
KB2616676
DigiNotar Stammzertifizierungsstelle G2DigiNotar Stammzertifizierungsstelle G243 d9 bc b5 68 e0 39 d0 73 a7 4a 71 d8 51 1f 74 76 08 9c c3 KB2607712,
KB2616676
DigiNotar PKIoverheid CA OverheidStaat der Niederlande Overheid CAb5 33 34 5d 06 f6 45 16 40 3c 00 da 03 18 7d 3b fe f5 91 56 KB2607712,
KB2616676
DigiNotar PKIoverheid CA Organisatie - G2Staat der Niederlande Organisatie CA - G25d e8 3e e8 2a c5 09 0a ea 9d 6a c4 e7 a6 e2 13 f9 46 e1 79 KB2607712,
KB2616676
DigiNotar PKIoverheid CA Overheid en BedrijvenStaat der Niederlande Overheid CA40 aa 38 73 1b d1 89 f9 cd b5 b9 dc 35 e2 13 6f 38 77 7a f4 KB2607712,
KB2616676
DigiNotar StammzertifizierungsstelleEntrust.net Secure Server Zertifizierungsstelle86 e8 17 c8 1a 5c a6 72 fe 00 0f 36 f8 78 c1 95 18 d6 f8 44 KB2616676
DigiNotar StammzertifizierungsstelleEntrust.net Secure Server Zertifizierungsstelle‎36 7d 4b 3b 4f cb bc 0b 76 7b 2e c0 cd b2 a3 6e ab 71 a4 eb KB2616676
DigiNotar Services 1024 CAEntrust.net Secure Server Zertifizierungsstelle‎f8 a5 4e 03 aa dc 56 92 b8 50 49 6a 4c 46 30 ff ea a2 9d 83 KB2616676
DigiNotar Cyber CAGTE CyberTrust Global Root‎b8 6e 79 16 20 f7 59 f1 7b 8d 25 e3 8c a8 be 32 e7 d5 ea c2 KB2616676
DigiNotar Cyber CAGTE CyberTrust Global Root‎2b 84 bf bb 34 ee 2e f9 49 fe 1c be 30 aa 02 64 16 eb 22 16 KB2616676
DigiNotar Cyber CAGTE CyberTrust Global Root‎98 45 a4 31 d5 19 59 ca f2 25 32 2b 4a 4f e9 f2 23 ce 6d 15 KB2616676

*Zertifikat wird mit diesem Update dem Ordner der nicht vertrauenswürdigen Zertifikate hinzugefügt.

Das Update KB2616676 enthält auch die Zertifikate aus dem Update KB2524375, die dem Ordner der nicht vertrauenswürdigen Zertifikate hinzugefügt wurden.

Was genau umfasst diese Empfehlung?
Mit dieser Empfehlung sollen Benutzer darüber benachrichtigt werden, dass Microsoft bestätigt hat, dass mindestens ein betrügerisches Zertifikat von DigiNotar veröffentlicht wurde und in aktiven Angriffen verwendet wird. Microsoft hat ein Update für alle unterstützten Versionen von Microsoft Windows veröffentlicht, mit dem das Problem behoben wird.

Was ist Kryptografie?
Kryptografie ist die Wissenschaft des Sicherns von Informationen, indem diese aus ihrem normalen, lesbaren Zustand (Klartext genannt) in einen Zustand konvertiert werden, in dem die Daten verschleiert sind (Chiffretext genannt).

In allen Formen der Kryptografie wird ein als Schlüssel bekannter Wert in Verbindung mit einem Verfahren namens Kryptoalgorithmus verwendet, um Klartextdaten in Chiffretext zu transformieren. In der vertrautesten Art der Kryptografie, der Kryptografie mit einem geheimen Schlüssel, wird der Chiffretext mit dem gleichen Schlüssel zurück in Klartext transformiert. In einer zweiten Art der Kryptografie jedoch, der Kryptografie mit öffentlichen Schlüsseln, wird ein anderer Schlüssel verwendet, um den Chiffretext zurück in Klartext zu transformieren.

Was versteht man unter einem „digitalen Zertifikat“?
Bei der Kryptografie mit öffentlichen Schlüsseln muss einer der Schlüssel, der private Schlüssel, geheim gehalten werden. Der andere Schlüssel, der öffentliche Schlüssel, ist dafür vorgesehen, für alle Welt freigegeben zu werden. Für den Eigentümer des Schlüssels muss es jedoch eine Möglichkeit geben, der Welt mitzuteilen, wem der Schlüssel gehört. Dies kann mithilfe von digitalen Zertifikaten geschehen. Ein digitales Zertifikat ist ein gegen Eingriffe gesichertes Datenpaket, das einen öffentlichen Schlüssel zusammen mit Informationen dazu enthält: wer der Besitzer ist, wofür es verwendet werden kann, wann es abläuft und so weiter.

Wofür werden Zertifikate verwendet?
Zertifikate werden hauptsächlich dazu verwendet, die Identität einer Person oder eines Geräts zu überprüfen, einen Dienst zu authentifizieren oder Dateien zu verschlüsseln. Normalerweise müssen Sie gar nicht an Zertifikate denken. Unter Umständen wird Ihnen jedoch eine Nachricht angezeigt, die Ihnen mitteilt, dass ein Zertifikat ungültig oder abgelaufen ist. In solchen Fällen sollten Sie den Anweisungen in der Nachricht folgen.

Was ist eine Zertifizierungsstelle (CA)?
Zertifizierungsstellen sind die Unternehmen, die Zertifikate veröffentlichen. Sie richten öffentliche Schlüssel ein, die Personen oder andere Zertifizierungsstellen gehören, und überprüfen deren Echtheit. Außerdem überprüfen sie die Identität einer Person oder eines Unternehmens, die um ein Zertifikat bittet.

Was ist eine Zertifikatvertrauensliste (CTL)?
Zwischen dem Empfänger einer signierten Nachricht und dem Unterzeichner der Nachricht muss Vertrauen bestehen. Dieses Vertrauen kann durch ein Zertifikat hergestellt werden; das ist ein elektronisches Dokument, mit dem überprüft wird, ob die Organisationen oder Personen diejenigen sind, die sie vorgeben, zu sein. Ein Zertifikat wird einer Organisation durch einen Drittanbieter ausgestellt, dem beide Parteien vertrauen. Dadurch entscheidet jeder Empfänger einer signierten Nachricht, ob der Herausgeber des Zertifikats des Unterzeichners vertrauenswürdig ist. CryptoAPI hat eine Methode implementiert, die Anwendungsentwicklern ermöglicht, Anwendungen zu erstellen, die Zertifikate automatisch anhand einer vordefinierten Liste von vertrauenswürdigen Zertifikaten oder Stammzertifikaten überprüfen. Diese Liste vertrauenswürdiger Organisationen (Zertifikatbesitzer genannt) wird Zertifikatvertrauensliste (CTL: Certificate Trust List) genannt. Weitere Informationen finden Sie in dem MSDN-Artikel Überprüfung des Vertrauens in Zertifikate.

Was hat das Problem verursacht?
Microsoft ist sich aktiver Angriffe bewusst, bei denen mindestens ein betrügerisches digitales Zertifikat verwendet wird, das von DigiNotar herausgegeben wurde. Diese Zertifizierungsstelle ist im Speicher vertrauenswürdiger Stammzertifizierungsstellen vorhanden. Ein betrügerisches Zertifikat kann u. U. verwendet werden, um Inhalt nachzuahmen, Phishingangriffe durchzuführen oder Man-in-the-Middle-Angriffe gegen alle Webbrowser-Benutzer einschließlich Benutzern von Internet Explorer durchzuführen. Dies ist zwar keine Sicherheitsanfälligkeit in einem Microsoft-Produkt, doch dieses Problem betrifft alle unterstützten Veröffentlichungen von Microsoft Windows.

Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?
Ein Angreifer kann diese Zertifikate verwenden, um Inhalt nachzuahmen, Phishingangriffe durchzuführen oder Man-in-the-Middle-Angriffe gegen alle Webbrowser-Benutzer einschließlich Benutzern von Internet Explorer durchzuführen.

Was ist ein Man-in-the-Middle-Angriff?
Ein Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer die Kommunikation zwischen zwei Benutzern durch den Computer des Angreifers umleitet, ohne dass die beiden kommunizierenden Benutzer davon wissen. Jeder Benutzer in der Kommunikation sendet unbewusst Datenverkehr an den Angreifer und erhält Datenverkehr von diesem, während er die ganze Zeit denkt, nur mit dem beabsichtigten Benutzer zu kommunizieren.

Wie ist die Vorgehensweise zum Widerrufen eines Zertifikats?
Es gibt ein Standardverfahren, das einer Zertifizierungsstelle ermöglichen soll, zu verhindern, dass diese Zertifikate akzeptiert werden, wenn sie verwendet werden. Jeder Zertifikatsherausgeber generiert regelmäßig eine CRL, in der alle Zertifikate aufgeführt sind, die als ungültig betrachtet werden sollen. Jedes Zertifikat muss bestimmte Daten enthalten, den CRL-Verteilungspunkt (CDP). Damit wird der Ort angezeigt, an dem die CRL abgerufen werden kann.

Eine alternative Möglichkeit für Webbrowser, die Identität eines digitalen Zertifikats zu überprüfen, ist die Verwendung des Online Certificate Status Protocol (OCSP). OCSP ermöglicht die interaktive Überprüfung eines Zertifikats, indem eine Verbindung zu einem OCSP-Responder hergestellt wird, der von der Zertifizierungsstelle (CA) gehostet wird, die das digitale Zertifikat signiert hat. Jedes Zertifikat sollte über die Erweiterung AIA (Authority Information Access; Zugriff auf Stelleninformationen) im Zertifikat einen Zeiger auf den Speicherort des OCSP-Responders bereitstellen. Außerdem ermöglicht die OCSP-Heftung dem Webserver, dem Client selbst eine Antwort auf die OCSP-Überprüfung bereitzustellen.

Die OCSP-Überprüfung ist in Internet Explorer 7 und höheren Versionen von Internet Explorer unter unterstützten Editionen von Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 standardmäßig aktiviert. Wenn die OCSP-Validierungsüberprüfung unter diesen Betriebssystemen fehlschlägt, überprüft der Browser das Zertifikat, indem er den CRL-Speicherort kontaktiert.

Weitere Informationen zur Überprüfung der Zertifikatsperrung finden Sie in dem TechNet-Artikel Zertifikatsperrung und Statusüberprüfung.

Was ist eine Zertifikatsperrliste (Certificate Revocation List, CRL)?
Die CRL ist eine digital signierte Liste, die von einer CA veröffentlicht wird. Sie enthält eine Liste von Zertifikaten, die durch die CA veröffentlicht und anschließend durch die CA widerrufen wurde. Für jedes einzelne widerrufene Zertifikat werden in der Auflistung die Seriennummer des Zertifikats, das Widerrufsdatum und der Widerrufgrund angezeigt. Anwendungen können eine CRL-Überprüfung durchführen, um den Widerrufsstatus eines vorgelegten Zertifikats zu ermitteln.

Was ist ein CRL-Verteilungspunkt (CRL Distribution Point, CDP)?
CDP ist eine Zertifikaterweiterung, mit der angezeigt wird, wo die Zertifikatsperrliste für eine CA abgerufen werden kann. Sie kann keinen, einen oder viele HTTP-, Datei- oder LDAP-URLs enthalten.

Was ist das Online Certificate Status Protocol (OCSP)?
Das OCSP ist ein Protokoll, das die Echtzeitüberprüfung des Status eines Zertifikats ermöglicht. In der Regel reagiert ein OCSP-Responder auf der Basis der von der CA abgerufenen CRL mit dem Widerrufsstatus.

Was unternimmt Microsoft, um zur Behebung dieses Problems beizutragen?
Obwohl dieses Problem nicht aus einem Problem in einem Microsoft-Produkt resultiert, haben wir dennoch die Zertifikatvertrauensliste aktualisiert, um das Vertrauen in das Stammzertifikat von DigiNotar zu entfernen. Microsoft untersucht dieses Problem weiter und veröffentlicht u. U. in der Zukunft ein Update, um Benutzer zu schützen.

Woher weiß ich, ob ein Fehler aufgrund eines ungültigen Zertifikats aufgetreten ist?
Wenn Internet Explorer auf ein ungültiges Zertifikat trifft, wird Benutzern eine Webseite angezeigt, auf der zu lesen ist: „Es gibt ein Problem mit dem Sicherheitszertifikat dieser Website“. Benutzer sind angehalten, die Webseite zu schließen und von der Site weg zu navigieren, wenn diese Warnmeldung angezeigt wird.

Benutzern wird diese Nachricht nur angezeigt, wenn festgestellt wird, dass das Zertifikat ungültig ist, z. B., wenn der Benutzer die Überprüfung der Zertifikatssperrliste (Certificate Revocation List, CRL) oder des Online Certificate Status Protocol (OCSP) aktiviert hat. Die OCSP-Überprüfung ist in Internet Explorer 7 und höheren Versionen von Internet Explorer unter unterstützten Editionen von Windows Vista, Windows Server 2008, Windows 7 und Windows Server 2008 R2 standardmäßig aktiviert.

Für alle unterstützten Versionen von Microsoft Windows

Die Mehrheit der Benutzer hat die automatische Aktualisierung aktiviert und muss keine Maßnahmen ergreifen, da das Update KB2616676 automatisch heruntergeladen und installiert wird. Benutzer, die die automatische Aktualisierung nicht aktiviert haben, müssen auf Updates prüfen und dieses Update manuell installieren. Weitere Informationen zu bestimmten Konfigurationsoptionen bei der automatischen Aktualisierung finden Sie im Microsoft Knowledge Base-Artikel 294871.

Für Administratoren und für Installationen in Unternehmen bzw. für Endbenutzer, die das Update KB2616676 manuell installieren möchten, empfiehlt Microsoft, das Update sofort mit Updateverwaltungssoftware zu installieren bzw. mithilfe des Diensts Microsoft Update auf Updates zu prüfen. Weitere Informationen zum manuellen Installieren des Updates finden Sie im Microsoft Knowledge Base-Artikel 2616676.

Obwohl das Update KB2616676 das Update KB2607712 ersetzt, ist das Update KB2607712 keine Voraussetzung für das Update KB2616676. Unabhängig davon, ob das Update KB2607712 installiert wurde, sollten Endbenutzer das Update KB2616676 installieren, um das in dieser Empfehlung beschriebene Problem zu beheben. Endbenutzer, die das Update KB2616676 installieren, müssen das Update KB2607712 nicht installieren.

Zusätzlich empfohlene Handlungen

  • Schützen Sie Ihren PC

    Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und Antivirussoftware zu installieren. Mehr zu diesen Vorsichtsmaßnahmen erfahren Sie unter Schützen Sie Ihren Computer.

    Weitere Informationen zur Sicherheit im Internet finden Sie im Microsoft-Sicherheitsportal.

  • Halten Sie Microsoft-Software auf dem neuesten Stand

    Benutzer, die Microsoft-Software ausführen, sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computers zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie die Website Microsoft-Update, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie automatisches Aktualisieren aktiviert und darauf konfiguriert haben, Updates für Microsoft-Produkte bereitzustellen, werden Ihnen die Updates geliefert, sobald sie veröffentlicht werden. Sie sollten aber überprüfen, ob sie installiert sind.

Weitere Informationen:

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellte Active Protections-Websites, die unter MAPP-Partner (Microsoft Active Protections Program) aufgeführt sind.

Feedback

  • Sie können uns Ihr Feedback über das Formular Kundendienst/Kontakt auf der Microsoft-Website „Hilfe und Support“ mitteilen.

Support

  • Technischer Support ist über den Security Support erhältlich. Weitere Informationen zu verfügbaren Supportoptionen finden Sie auf der Microsoft-Website „Hilfe und Support“.
  • Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der Website Internationale Hilfe und Support.
  • Auf der Microsoft-Website TechNet Sicherheit werden zusätzliche Informationen zur Sicherheit in Microsoft-Produkten zur Verfügung gestellt.

Haftungsausschluss

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (29. August 2011): Die Empfehlung wurde veröffentlicht.
  • V2.0 (29. August 2011): Die Empfehlung wurde überarbeitet, um eine falsche Nummer für die Empfehlung zu korrigieren.
  • V3.0 (6. September 2011): Die Sicherheitsempfehlung wurde überarbeitet, um die Veröffentlichung eines Updates anzukündigen, mit dem dieses Problem behoben wird.
  • V4.0 (13. September 2011): Die Empfehlung wurde überarbeitet, um die Veröffentlichung des Updates KB2616676 anzukündigen, mit dem das in dieser Empfehlung beschriebene Problem behoben wird.
  • V4.1 (13. September 2011): Die Empfehlung wurde überarbeitet, um die Verfügbarkeit des Updates KB2616676 für die Windows Developer Preview-Version anzukündigen. Weitere Informationen finden Sie in den häufig gestellten Fragen (FAQs) zu diesem Update.
  • V5.0 (19. September 2011): Die Empfehlung wurde überarbeitet, um die erneute Veröffentlichung des Updates KB2616676 anzukündigen. Weitere Informationen finden Sie in den häufig gestellten Fragen (FAQs) zu diesem Update.

Built at 2014-04-18T01:50:00Z-07:00

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.
Anzeigen:
© 2015 Microsoft