Google entdeckt schwere Sicherheitslücke in SSL 3.0

Die als "Poodle" (Padding Oracle on Downgraded Legacy Encryption) bezeichnete Fehlfunktion erlaubt das Stehlen eines als "sicher" geltenden HTTP-Cookies. Dadurch kann ein Angreifer die Identität seines Opfers annehmen. Nutzer sollten daher SSL 3.0 in ihrem Browser deaktivieren.

Die Google-Entwickler Bodo Möller, Thai Duang und Krzysztof Kotowicz haben eine schwere Lücke in dem 15 Jahre alten Verschlüsselungsprotokoll SSL 3.0 entdeckt. Sie ermöglicht es Angreifern, Informationen, die über eine sichere Verbindung transportiert werden, zu entziffern. Die von den Entdeckern mit Poodle (Padding Oracle on Downgraded Legacy Encryption) bezeichnete Fehlfunktion erlaubt das Stehlen eines als „sicher“ geltenden HTTP-Cookies, wodurch ein Angreifer die Identität seines Opfers annehmen kann. An dieses Cookie gelangt man durch das Einfügen von Javascript-Code in eine beliebige HTTP-Verbindung, die dadurch eine Man-in-the-Middle-Attacke ermöglicht.

Angesichts des Alters des SSL-3.0-Protokolls sollte man annehmen, dass die Lücke in der Praxis kaum eine große Rolle spielen kann. Schließlich nutzen die meisten Web-Dienste moderne Verschlüsselungsverfahren. Allerdings ist zu bedenken, dass aus Kompatibilitätsgründen von annähernd sämtlichen Servern, das ältere SSL-3.0-Protokoll noch unterstützt wird. Das könnten Angreifer ausnutzen und beispielsweise den Verbindungsaufbau eines Browser mit einer sicheren TLS-Verbindung stören, sodass dieser die ältere Protokollversion nutzt.

HIGHLIGHT

Praxis: Browser gegen Lücke in SSL 3.0 absichern

Bis auf Safari lassen sich Desktop-Browser gegen die von Google-Entwicklern entdeckte Lücke im Verschlüsselungsprotokol SSL 3.0 relativ leicht absichern. Auf mobilen Endgeräten ist es schwieriger beziehungsweise zum Teil unmöglich.

Um sich vor der Schwachstelle zu schützen, reicht eine Deaktivierung von SSL 3.0 im Browser aus. Google und Mozilla haben bereit angekündigt, dass die nächsten Versionen ihrer Browser SSL 3.0 nicht mehr unterstützen werden. Als Workaround für die aktuellen Varianten wird empfohlen, Chrome mit dem Zusatz –ssl-version-min=tls1 zu starten und für Firefox das Secrity-Add-on Disable SSL 3.0 zu installieren oder über die Eingabe in der Adressleiste „about:config“ den Wert für den Eintrag „security.tls.version.min“ auf „1“ zu setzen. Microsofts Browser Internet Explorer erlaubt ebenfalls die Deaktivierung von SSL 3.0. Hierzu schaltet man die Option „SSL 3.0 verwenden“ unter Internetoptionen – Erweitert einfach aus. Für Safari ist aktuell noch keine Lösung bekannt.

Für Betreiber von Webseiten empfehlen die Entdecker der Lücke ebenfalls SSL 3.0 zu deaktivieren. Eine Anleitung für Nginx und Apache hat die University of Michigan veröffentlicht.

Tipp: Kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Update 15.16 Uhr

Ob der genutzte Browser anfällig für die Lücke ist, lässt sich auf https://www.poodletest.com/ überprüfen. Server lassen sich unter http://www.poodlebleed.com/ testen.

Themenseiten: Google, Secure-IT

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Google entdeckt schwere Sicherheitslücke in SSL 3.0

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *