Zero-Day-Lücke im SSL/TLS-Verschlüsselungsprotokoll entdeckt

Der Fehler ist schon seit August bekannt. Außenstehende können darüber eine verschlüsselte Browsersitzung übernehmen und anstelle des Anwenders fortführen. Das SSL/TLS-Protokoll sichert Online-Transaktionen von Händlern und Banken ab.

Die Sicherheitsforscher Marsh Ray und Steve Dispensa haben am Mittwoch Informationen zu einer Schwachstelle im Verschlüsselungsprotokoll Transport Layer Security (TLS) veröffentlicht. TLS und dessen Vorgänger SSL (Secure Sockets Layer) werden üblicherweise von Onlinehändlern und Banken verwenden, um Transaktionen über das Internet abzusichern.

Wie Ray, der zusammen mit Dispensa beim Sicherheitsunternehmen PhoneFactor arbeitet, in einem Blogeintrag erklärt, hat er den Fehler im August entdeckt und Anfang September seinem Kollegen demonstriert. Eine Schwachstelle im Authentifizierungsprozess von TLS ermögliche es Außenstehenden, die Browsersitzung eines Anwenders zu übernehmen und an dessen Stelle fortzuführen.

Darüber hinaus kann die Lücke den Forschern zufolge für Man-in-the-middle-Angriffe gegen HTTPS-Server verwendet werden. Hypertext Transfer Protocol Secure ist eine Kombination aus HTTP und TLS, die für die meisten Online-Finanzdienste zum Einsatz kommt. Nach Angaben von PhoneFactor betrifft die Lücke die Mehrheit der mit SSL geschützten Server im Internet.

Der Sicherheitsforscher Chris Paget schätzt, dass der Fehler für einen längeren Zeitraum ein Problem darstellen wird. Es gebe Tausende Software-Update-Mechanismen im Internet, die von SSL abhängig seien, schreibt Paget in seinem Blog. „Das ist ein Problem auf Protokollebene. Eine Reparatur erfordert Änderungen an der Funktionsweise von SSL und TLS.“

Ray und Dispensa haben ihre Entdeckung an das Industry Consortium for Advancement of Security on the Internet (Icasi) und die Internet Engineering Task Force (IETF) sowie Programmierer von Open-Source-Implementierungen von SSL weitergegeben. Am 29. September riefen die Gruppen bei einem Treffen das Projekt „Mogul“ ins Leben, das die Beseitigung der Lücke koordiniert. Ray erwartet, dass die Schwachstelle vorläufig durch eine Protokollerweiterung geschlossen wird. Ein erster Vorschlag dafür soll in Kürze vorliegen.

Themenseiten: Networking, Netzwerk

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Zero-Day-Lücke im SSL/TLS-Verschlüsselungsprotokoll entdeckt

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *