Lücke im SSL-Protokoll ermöglicht Passwort-Klau

Sicherheitslücken Der Student Anil Kurmus hat es geschafft, die kürzlich entdeckte Sicherheitslücke im SSL/TLS-Protokoll praktisch für Angriffe zu nutzen. Augenscheinlich ist es ihm gelungen, Passwörter von Twitter auszulesen. Bei diesen Versuchen hat er eine Man-in-the-Middle-Attacke durchgeführt und letztlich unter Beweis gestellt, dass die Lücke zwar exotisch sei, in der Praxis aber durchaus relevant sein kann. In technischer Hinsicht hatte Kurmus an den verschlüsselten HTTPS-Request eine eigene Twitter-Nachricht angehängt.

Wegen der TLS-Renegotiation-Schwachstelle erhielt Kurmus den vollständigen HTTP-Request des Opfers in Form von einem Tweet. Darin enthalten sind sowohl der Benutzername als auch das zugehörige Passwort in Base64 kodiert. Eine Entschlüsselung dieser Daten war offenbar ohne größere Mühen möglich.

Die Betreiber von Twitter wurden vermutlich im Vorfeld über diesen Sachverhalt informiert und haben die Lücke bereits geschlossen. Einen offiziellen Patch für dieses seit Anfang Oktober bekannte Problem an sich gibt es nach wie vor nicht.

Bislang haben lediglich die Entwickler von OpenSSL reagiert und die TLS-Renegotiations mit einem Patch unterbunden.
Diese Nachricht empfehlen
Kommentieren17
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 09:00 Uhr iRULU WalknBook Notebook/Tablet PC 2-In-1, Microsoft Windows 10 OS, IPS-Display, 32GB Hybrid Laptop, Quad Cor
iRULU WalknBook Notebook/Tablet PC 2-In-1, Microsoft Windows 10 OS, IPS-Display, 32GB Hybrid Laptop, Quad Cor
Original Amazon-Preis
185,99
Im Preisvergleich ab
?
Blitzangebot-Preis
158,09
Ersparnis zu Amazon 0% oder 27,90
Nur bei Amazon erhältlich

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden