Poodle-Lücke: Apple sichert Safari in Beta-Versionen ab

Obwohl Apple die Poodle-Lücke bereits kurz nach Bekanntwerden auf Betriebssysteme geschlossen hat, dichtet es seinen Safari-Browser nun unter den jeweiligen Beta-2-Versionen von iOS 9 und OS X 10.11 zusätzlich ab,

In den aktuellen Beta-Versionen von iOS 9 und OS X 10.11 El Capitan schützt Apple seinen Browser Safari zusätzlich gegen die Poodle-Lücke. Auf Betriebssystemebene hatte es die von Google-Forschern im Herbst 2014 entdeckte Schwachstelle bereits behoben. Sämtliche Verbindungsversuche, die auf Basis der Poodle-Lücke initiiert werden, blockieren OS X und iOS automatisch.

Apple Safari Icon (Bild: Apple)Apple schreibt dazu in einem Supportdokument Folgendes: „Es gibt bekannte Angriffe auf die Vertraulichkeit von SSL 3.0, wenn eine Cipher Suite einen Block-Cipher im CBC-Modus verwendet. Ein Angreifer könnte die Nutzung von SSL 3.0 erzwingen, auch wenn der Server eine bessere TLS-Version unterstützt, indem Verbindungsversuche mit TLS 1.0 und höher blockiert werden. Dieses Problem wurde behoben, indem CBC Cipher Suites deaktiviert werden, wenn eine TLS-Verbindung fehlschlägt.

Dennoch wurde Safari bei gängigen Tests als „unsicher“ eingestuft, was laut einigen Sicherheitsspezialisten daran liegt, dass  entgegen Apples Behauptung Safari nach wie vor Block-Cipher im CBC-Modus zur Verbindungsaufnahme nutzt.

Anders als seine Vorgänger unterstützt der Apple-Browser in Version 9, der Bestandteil der Beta-2-Versionen von OS X 10.11 El Capitan und iOS 9 ist, kein SSL3 mehr. Somit kann er nicht mehr gegenüber der Poodle-Lücke anfällig sein. Während Safari 8 sowohl mit OS X 10.10 wie auch mit iOS 8 den Poodle-Test nicht besteht, fällt das Testergebnis für Safari 9 positiv aus.

Die von den Entdeckern mit Poodle (Padding Oracle on Downgraded Legacy Encryption) bezeichnete Fehlfunktion erlaubt das Stehlen eines als „sicher“ geltenden HTTP-Cookies, wodurch ein Angreifer die Identität seines Opfers annehmen kann. An dieses Cookie gelangt man durch das Einfügen von Javascript-Code in eine beliebige HTTP-Verbindung, die dadurch eine Man-in-the-Middle-Attacke ermöglicht.

Allerdings schätzen Sicherheitsforscher die tatsächliche Gefahr durch die Poodle-Lücke als gering ein, da eine Man-in-the-Middle-Attacke nur möglich ist, wenn sich der Browser oder andere Anwendungen wie E-Mail-Clients über ein unverschlüsseltes Netzwerk mit dem Internet verbinden. Wer keine unverschlüsselten WLAN-Hotspots nutzt oder ein VPN verwendet, ist generell nicht durch die Poodle-Lücke gefährdet.

Safari 9 besteht den Poodle-Test (Screenshot: ZDNet.de)Safari 9 besteht den Poodle-Test (Screenshot: ZDNet.de)

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Apple, Browser, Safari, Security

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Poodle-Lücke: Apple sichert Safari in Beta-Versionen ab

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *