Google-Experten warnen vor gravierender Sicherheitslücke in SSL 3.0

BrowserSicherheitSicherheitsmanagementWorkspace

Die Schwachstelle wird von ihnen als “Poodle” (Padding Oracle on Downgraded Legacy Encryption) bezeichnet. Sie erlaubt es Unbefugten, ein als “sicher” geltendes HTTP-Cookie zu stehlen. War das erfolgreich, kann der Angreifer in der digitalen Welt die Identität seines Opfers annehmen. Um sich zu schützen, sollten Nutzer SSL 3.0 in ihrem Browser deaktivieren.

Google-Entwickler haben eine gravierende Sicherheitslücke im Verschlüsselungsprotokoll SSL 3.0 entdeckt. Angreifer können unter deren Ausnutzung, Informationen entziffern, die über eine vermeintlich sichere Verbindung transportiert werden. Die von den Entdeckern Bodo Möller, Thai Duang und Krzysztof Kotowicz als Poodle (Padding Oracle on Downgraded Legacy Encryption) bezeichnete Fehlfunktion erlaubt das Stehlen eines als “sicher” geltenden HTTP-Cookies. Hat er dies in seinen Besitz gebracht, kann der Angreifer die digitale Identität seines Opfers annehmen. Das Cookie bekommen sie durch Einfügen von Javascript-Code in eine beliebige HTTP-Verbindung, die dadurch eine Man-in-the-Middle-Attacke ermöglicht.

Google-Experten warnen vor gravierender Sicherheitslücke in SSL 3.0 (Bild: Shutterstock / Cousin Avi)

Das SSL-3.0-Protokoll ist bereits 15 Jahre alt. Die Annahme, dass die Lücke daher in der Praxis keine große Rolle spielen wird, weil die meisten Web-Dienste neuere Verschlüsselungsverfahren verwenden, ist dennoch falsch. Denn aus Kompatibilitätsgründen wird SSL 3.0 von nahezu allen Servern noch unterstützt. Diesen Umstand könnten sich Angreifer zunutze machen, indem sie beispielsweise den Verbindungsaufbau eines Browser mit einer sicheren TLS-Verbindung stören, sodass dieser die ältere Protokollversion nutzt.

Anwender können sich vor der Schwachstelle schützen, indem sie SSL 3.0 im Browser deaktivieren. Google und Mozilla haben bereits angekündigt, dass die nächsten Versionen ihrer Browser SSL 3.0 nicht mehr unterstützen wird. Für die aktuellen Varianten wird empfohlen, Chrome mit dem Zusatz –ssl-version-min=tls1 zu starten und für Firefox das Security-Add-on Disable SSL 3.0 zu installieren. Alternativ lässt sich über die Eingabe in der Adressleiste “about:config” der Wert für den Eintrag “security.tls.version.min” auf “1” setzen.

Der Internet Explorer erlaubt ebenfalls die Deaktivierung von SSL 3.0. Hierzu muss lediglich unter Internetoptionen – Erweitert die Option “SSL 3.0 verwenden” ausgeschaltet werden. Für Safari ist aktuell noch keine Möglichkeit bekannt.

Betreibern von Webseiten empfehlen die Entdecker der Lücke ebenfalls, SSL 3.0 zu deaktivieren. Eine Anleitung für Nginx und Apache hat die University of Michigan veröffentlicht.

[mit Material von Kai Schmerer, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computer-Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen