Die Sicherheitsforscher Marsh Ray und Steve Dispensa haben am Mittwoch Informationen zu einer Schwachstelle im Verschlüsselungsprotokoll Transport Layer Security (TLS) veröffentlicht. TLS und dessen Vorgänger SSL (Secure Sockets Layer) werden üblicherweise von Onlinehändlern und Banken verwenden, um Transaktionen über das Internet abzusichern.
Wie Ray, der zusammen mit Dispensa beim Sicherheitsunternehmen PhoneFactor arbeitet, in einem Blogeintrag erklärt, hat er den Fehler im August entdeckt und Anfang September seinem Kollegen demonstriert. Eine Schwachstelle im Authentifizierungsprozess von TLS ermögliche es Außenstehenden, die Browsersitzung eines Anwenders zu übernehmen und an dessen Stelle fortzuführen.
Darüber hinaus kann die Lücke den Forschern zufolge für Man-in-the-middle-Angriffe gegen HTTPS-Server verwendet werden. Hypertext Transfer Protocol Secure ist eine Kombination aus HTTP und TLS, die für die meisten Online-Finanzdienste zum Einsatz kommt. Nach Angaben von PhoneFactor betrifft die Lücke die Mehrheit der mit SSL geschützten Server im Internet.
Der Sicherheitsforscher Chris Paget schätzt, dass der Fehler für einen längeren Zeitraum ein Problem darstellen wird. Es gebe Tausende Software-Update-Mechanismen im Internet, die von SSL abhängig seien, schreibt Paget in seinem Blog. „Das ist ein Problem auf Protokollebene. Eine Reparatur erfordert Änderungen an der Funktionsweise von SSL und TLS.“
Ray und Dispensa haben ihre Entdeckung an das Industry Consortium for Advancement of Security on the Internet (Icasi) und die Internet Engineering Task Force (IETF) sowie Programmierer von Open-Source-Implementierungen von SSL weitergegeben. Am 29. September riefen die Gruppen bei einem Treffen das Projekt „Mogul“ ins Leben, das die Beseitigung der Lücke koordiniert. Ray erwartet, dass die Schwachstelle vorläufig durch eine Protokollerweiterung geschlossen wird. Ein erster Vorschlag dafür soll in Kürze vorliegen.
Einziger Neueinsteiger ist das Alps-System in der Schweiz. Die weiteren Top-Ten-Systeme aus Europa stehen in…
Im vergangenen Jahr steigt ihre Zahl um 32 Prozent. Die Zahl der betroffenen PC-Nutzer sinkt…
Die App satellite wird künftig Telefongespräche in Echtzeit datenschutzkonform mit Hilfe von KI zusammenfassen.
Als Erweiterung von Master-Data-Management ermöglicht es die Lösung, den Werdegang von Daten verstehen und sie…
Sie erlauben unter anderem das Einschleusen von Schadcode. In älteren iPhones und iPads mit OS-Version…
Neuer Speicher für KI von Huawei mit integrierter Ransomware-Erkennungs-Engine und deutlich geringerem Energiekonsum.