Die Nachricht ist schon von gestern und daher sicher vielen bereits bekannt. Gemäß diesem Beitrag bei Heise, sind einige Rechner der Firma Dell von einer gravierenden Sicherheitslücke betroffen.
Dell hat inzwischen reagiert und bietet ein Update an, welches das Zertifikat entfernt.
In einem anderen Forum habe ich dazu gerade diesen Satz gelesen:
Die gute Nachricht ist zumindest, dass Firefox-Nutzer nicht betroffen sind, da Firefox seinen eigenen Zertifikatsstore besitzt.
Diese Mitteilung ist mindestens missverständlich und kann den falschen Eindruck erwecken, dass Benutzer des Firefox sich bzgl. dieser Lücke keine Sorgen machen müssten. Das ist aber nicht der Fall!
Auch wenn Firefox und Thunderbird einen eigenen Zertifikatsspeicher haben und und daher selbst nicht betroffen sind, andere Windows-Programme nutzen ihn aber, oftmals unbemerkt im Hintergrund z.B. um Updates einzuspielen etc. .
Ganz unabhängig von Firefox und Thunderbird kann diese Lücke also für einen Man-in-the-middle-Angriff genutzt werden. Da die zugehörigen Schlüssel öffentlich verfügbar sind, wird es sicher nicht lange dauern, bis es jemand ausnutzt. Vor allem wenn man bedenkt, wie viele Benutzer es gibt, die sich um so etwas nicht kümmern.
Daher: Besitzer von Dell-Rechnern sollten prüfen, ob die das Zertifikat auf ihrem Rechner finden, und es ggf. entfernen.
