Lücke im SSL-Protokoll ermöglicht Passwort-Klau

Sicherheitslücken Der Student Anil Kurmus hat es geschafft, die kürzlich entdeckte Sicherheitslücke im SSL/TLS-Protokoll praktisch für Angriffe zu nutzen. Augenscheinlich ist es ihm gelungen, Passwörter von Twitter auszulesen. Bei diesen Versuchen hat er eine Man-in-the-Middle-Attacke durchgeführt und letztlich unter Beweis gestellt, dass die Lücke zwar exotisch sei, in der Praxis aber durchaus relevant sein kann. In technischer Hinsicht hatte Kurmus an den verschlüsselten HTTPS-Request eine eigene Twitter-Nachricht angehängt.

Wegen der TLS-Renegotiation-Schwachstelle erhielt Kurmus den vollständigen HTTP-Request des Opfers in Form von einem Tweet. Darin enthalten sind sowohl der Benutzername als auch das zugehörige Passwort in Base64 kodiert. Eine Entschlüsselung dieser Daten war offenbar ohne größere Mühen möglich.

Die Betreiber von Twitter wurden vermutlich im Vorfeld über diesen Sachverhalt informiert und haben die Lücke bereits geschlossen. Einen offiziellen Patch für dieses seit Anfang Oktober bekannte Problem an sich gibt es nach wie vor nicht.

Bislang haben lediglich die Entwickler von OpenSSL reagiert und die TLS-Renegotiations mit einem Patch unterbunden.
Diese Nachricht empfehlen
Kommentieren17
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 10:00 UhrCorsair CC-9011063-WW Graphite Series 780T Seitenfenster Full-Tower ATX Performance LED Gaming Gehäuse mit Roten LED Lüfter
Corsair CC-9011063-WW Graphite Series 780T Seitenfenster Full-Tower ATX Performance LED Gaming Gehäuse mit Roten LED Lüfter
Original Amazon-Preis
177,89
Im Preisvergleich ab
174,44
Blitzangebot-Preis
156,90
Ersparnis zu Amazon 0% oder 20,99

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden