Microsoft hat ein Fix-it-Tool bereitgestellt, mit der sich SSL 3.0 im Internet Explorer auf einfache Weise deaktivieren (oder auf Wunsch auch wiederherstellen) lässt. Dieser Schritt ist nötig, um sich gegen die als Poodle (PDF) bezeichnete Fehlfunktion in dem 15 Jahre alten Verschlüsselungsprotokoll zu schützen.
Das Tool vereinfacht die Abschaltung von SSL 3.0, indem es die entsprechenden Registry-Einträge automatisch ändert. Alternativ lässt sich die SSL-3.0-Verschlüsselung für Internet Explorer aber weiterhin ähnlich simpel in den Internetoptionen unter dem Reiter „Erweitert“ deaktivieren, indem das Häkchen bei „SSL 3.0 verwenden“ entfernt wird.
Poodle steht für Padding Oracle on Downgraded Legacy Encryption. Die Mitte Oktober von Google-Entwicklern entdeckte Schwachstelle in SSL 3.0 erlaubt das Stehlen eines als „sicher“ geltenden HTTP-Cookies, wodurch ein Angreifer die Identität seines Opfers annehmen kann. An dieses Cookie gelangt man durch das Einfügen von Javascript-Code in eine beliebige HTTP-Verbindung, die dadurch eine Man-in-the-Middle-Attacke ermöglicht.
Praxis: Browser gegen Lücke in SSL 3.0 absichern
Bis auf Safari lassen sich Desktop-Browser gegen die von Google-Entwicklern entdeckte Lücke im Verschlüsselungsprotokol SSL 3.0 relativ leicht absichern. Auf mobilen Endgeräten ist es schwieriger beziehungsweise zum Teil unmöglich.
Die Sicherheitslücke betrifft sowohl Webserver als auch Browser. Beide müssen neu konfiguriert werden, damit nicht länger das anfällige SSL 3.0 verwendet wird. Aktuell unterstützen fast sämtliche Server noch das alte SSL-3.0-Protokoll aus Kompatibilitätsgründen. Das könnten Angreifer ausnutzen und beispielsweise den Verbindungsaufbau eines Browser mit einer sicheren TLS-Verbindung stören, sodass dieser die ältere Protokollversion verwendet.
Nutzer können sich vor der Schwachstelle schützen, indem sie SSL 3.0 im Browser deaktivieren. Google und Mozilla haben bereit angekündigt, dass die nächsten Versionen ihrer Browser das veraltete Protokoll nicht mehr unterstützen werden. Als Workaround für die aktuellen Varianten wird empfohlen, Chrome mit dem Zusatz –ssl-version-min=tls1 zu starten und für Firefox das Security-Add-on Disable SSL 3.0 zu installieren oder über die Eingabe in der Adressleiste „about:config“ den Wert für den Eintrag „security.tls.version.min“ auf „1“ zu setzen.
Apple hat den Support für SSL 3.0 bereits eingestellt. Seit gestern verwendet es zur Absicherung seines Push-Benachrichtigungsdienstes ausschließlich Transport Layer Security (TLS). Darüber hatte es Provider und Entwickler vor einer Woche informiert.
[mit Material von Larry Seltzer, ZDNet.com]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
Noch keine Kommentare zu Microsoft veröffentlicht Fix-it-Tool für Poodle-Lücke
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.