Indhold
Det amerikanske Massachusetts Institute of Technology (MIT), som står bag den ellers klippesolide sikkerhedsprotokol Kerberos, som benyttes til autentifikation, har fundet en svaghed i version fire af protokollen. Det skriver nyhedstjenesten eWeek.
MIT's Kerberos-udviklingshold har oplyst, at indholdet af en ikke publiceret rapport er blevet lækket og er i omløb på nettet. Med de detaljer, som rapporten indeholder, er det simpelt for en angriber med kendskab til Kerberos at udnytte sårbarheden.
Problemet opstår som en konsekvens af flere forhold. Kerberos billetter (tickets), som systemet udsteder som midlertidig identifikation, har en række meget specifikke mangler, som tilsammen giver mulighed for angreb.
Sikkerhedshullet findes ikke i Kerberos version fem, men denne version kan benytte nøgler fra version fire, og disse nøgler kan kompromitteres. Windows 2000 indeholder Kerberos version 5, og mens Microsoft umiddelbart ikke mener, at der er en sikkerhedsrisiko, undersøger firmaet sagen nærmere.
