In den aktuellen Beta-Versionen von iOS 9 und OS X 10.11 El Capitan schützt Apple seinen Browser Safari zusätzlich gegen die Poodle-Lücke. Auf Betriebssystemebene hatte es die von Google-Forschern im Herbst 2014 entdeckte Schwachstelle bereits behoben. Sämtliche Verbindungsversuche, die auf Basis der Poodle-Lücke initiiert werden, blockieren OS X und iOS automatisch.
Dennoch wurde Safari bei gängigen Tests als „unsicher“ eingestuft, was laut einigen Sicherheitsspezialisten daran liegt, dass entgegen Apples Behauptung Safari nach wie vor Block-Cipher im CBC-Modus zur Verbindungsaufnahme nutzt.
Anders als seine Vorgänger unterstützt der Apple-Browser in Version 9, der Bestandteil der Beta-2-Versionen von OS X 10.11 El Capitan und iOS 9 ist, kein SSL3 mehr. Somit kann er nicht mehr gegenüber der Poodle-Lücke anfällig sein. Während Safari 8 sowohl mit OS X 10.10 wie auch mit iOS 8 den Poodle-Test nicht besteht, fällt das Testergebnis für Safari 9 positiv aus.
Die von den Entdeckern mit Poodle (Padding Oracle on Downgraded Legacy Encryption) bezeichnete Fehlfunktion erlaubt das Stehlen eines als „sicher“ geltenden HTTP-Cookies, wodurch ein Angreifer die Identität seines Opfers annehmen kann. An dieses Cookie gelangt man durch das Einfügen von Javascript-Code in eine beliebige HTTP-Verbindung, die dadurch eine Man-in-the-Middle-Attacke ermöglicht.
Allerdings schätzen Sicherheitsforscher die tatsächliche Gefahr durch die Poodle-Lücke als gering ein, da eine Man-in-the-Middle-Attacke nur möglich ist, wenn sich der Browser oder andere Anwendungen wie E-Mail-Clients über ein unverschlüsseltes Netzwerk mit dem Internet verbinden. Wer keine unverschlüsselten WLAN-Hotspots nutzt oder ein VPN verwendet, ist generell nicht durch die Poodle-Lücke gefährdet.
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Die durchschnittliche Lösegeldzahlung liegt bei 2,5 Millionen Dollar. Acht Prozent der Befragten zählten 2023 mehr…
Eine neue Analyse der EU-Kommission sieht vor allem eine hohe Verbreitung von iPadOS bei Business-Nutzern.…
Das operative Ergebnis wächst um fast 6 Billionen Won auf 6,64 Billionen Won. Die Gewinne…
Ab Werk blockiert Chrome Cookies von Dritten nun frühestens ab Anfang 2025. Unter anderem gibt…
Die Vorfreude steigt, denn BAUMLINK wird als Partner und Aussteller bei der Tech Show 2024…
Nutzung einer unternehmenseigenen GPT-Umgebung für sicheren und datenschutzkonformen Zugriff.