Windows

Die Schwachstelle steckt in der CryptoAPI von Microsoft Windows, die in der Systembibliothek Crypt32.dll umgesetzt ist. Diese Komponente prüft die Gültigkeit digitaler Zertifikate. Der Fehler liegt darin, wie dabei Zertifikate auf Basis der Elliptische-Kurven-Kryptografie (ECC) überprüft werden: Die Validierung lässt sich täuschen. Ein Angreifer kann ein gefälschtes Code-Signing-Zertifikat erzeugen und damit eine schädliche, ausführbare Datei signieren. Windows stuft die Datei dann als von einer vertrauenswürdigen, legitimen Quelle stammend ein, obwohl sie es nicht ist. So lässt sich Schadsoftware als seriös getarnt einschleusen und Schutzmechanismen, die auf Signaturprüfung beruhen, werden umgangen. Darüber hinaus kann der Angreifer die Lücke nutzen, um sich in Verbindungen einzuklinken (Man-in-the-Middle) und vertrauliche Daten zu entschlüsseln, die ein Nutzer mit der betroffenen Software austauscht. Betroffen sind Windows-Systeme, deren Zertifikatsprüfung auf dieser Bibliothek aufsetzt.