Microsoft veröffentlicht Workaround für TLS-Lücke

Für Windows 7 und Server 2008 R2 steht ein Fix-it-Tool zur Verfügung. Es konfiguriert den Internet Explorer so, dass er die sicheren TLS-Versionen 1.1 und 1.2 nutzt. Das von der Schwachstelle ausgehende Risiko stuft Microsoft als sehr gering ein.

Logo von Microsoft

Microsoft hat einen Workaround für eine in der vergangenen Woche entdeckte Lücke in Version 1.0 von Transport Layer Security (TLS) bereitgestellt. Der Verschlüsselungsmechanismus ist der Nachfolger von Secure Sockets Layer (SSL) und sichert Websites, auf die per HTTPS zugegriffen wird. Microsofts Fix-it-Tool steht bisher nur für Windows 7 und Server 2008 R2 zur Verfügung. Das Problem betrifft einer Sicherheitswarnung zufolge aber auch Windows XP, Server 2003, Vista und Server 2008.

Das Tool konfiguriert den Internet Explorer unter Windows 7 und Server 2008 R2 automatisch so, dass er TLS 1.1 oder TLS 1.2 nutzt, die im Gegensatz zu TLS 1.0 nicht anfällig sind. Microsoft weist aber darauf hin, dass trotz der Einstellung immer dann TLS 1.0 verwendet wird, wenn ein Webserver die neueren Versionen nicht unterstützt.

Darüber hinaus rät der Softwarekonzern, ActiveX Controls und Active Scripting zu deaktivieren, indem in den Internetoptionen die Sicherheitsstufe für die Zone „Internet“ auf „hoch“ gestellt wird. Alternativ sei es möglich, im Internet Explorer eine Abfrage für Active Scripting einzurichten. Nutzer sollten zudem die Browser-Cookies löschen und keine unverschlüsselten Websites besuchen, während eine HTTPS-Browsersitzung läuft.

„Das ist ein branchenweites Problem, dass das Ökosystem Internet als Ganzes betrifft und nicht nur eine bestimmte Plattform“, schreibt Microsoft-Sprecher Jerry Bryant in einem Blogeintrag. Interne Untersuchungen hätten gezeigt, dass das Risiko für Anwender nur „minimal“ sei. Die Schwachstelle werde bisher noch nicht aktiv ausgenutzt, so Bryant weiter. Für einen erfolgreichen Angriff sei eine aktive HTTPS-Sitzung auf dem Rechner eines Opfers notwendig. Zudem müsse der Schadcode, der den HTTPS-Datenverkehr entschlüssele, innerhalb der Browsersitzung ausgeführt werden und der Code müsse so behandelt werden, als stamme er vom HTTPS-Server. Die Behelfslösung richte sich an Kunden, die für sich ein erhöhtes Risiko durch die TLS-Lücke unterstellten.

Themenseiten: Browser, Internet Explorer, Microsoft, Windows

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Microsoft veröffentlicht Workaround für TLS-Lücke

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *