MÜNCHEN (COMPUTERWOCHE) - Ein Betrüger, der sich als Mitarbeiter von Microsoft ausgab, hat im Namen des Unternehmens zwei digitale Zertifikate von Verisign erhalten. Mit diesen lassen sich theoretisch bösartige Windows-Anwendungen, ActiveX Controls oder Office-Makros im Rahmen des "Authenticode"-Verfahrens als offiziell von Microsoft stammend kennzeichnen und so in die IT gutgläubiger Unternehmen einschleusen. Betroffen sind alle 32-Bit-Versionen des Windows-Betriebssystems
In einem diesbezüglichen Security Bulletin kündigt die Gates-Company an, ein Patch werde derzeit entwickelt und in Kürze veröffentlicht. Außerdem habe man das FBI eingeschaltet, um den Zertifikatsfälscher dingfest zu machen.
Die gefälschten "Class-3"-Zertifikate wurden von Verisign bereits am 29. und 30. Januar dieses Jahres ausgestellt. Dass die Identität des Antragsstellers nicht überprüft wurde, ist laut Vice President und General Manager Mahi da Silva auf "menschliches Versagen" zurückzuführen. "Wir haben mit unserem Verfahren 500.000 digitale Zertifikate ausgestellt, und nur bei diesen zweien haben wir Kenntnis von einem Betrug", entschuldigt sich der Verisign-Mann.