Lücke im SSL-Protokoll ermöglicht Passwort-Klau

Sicherheitslücken Der Student Anil Kurmus hat es geschafft, die kürzlich entdeckte Sicherheitslücke im SSL/TLS-Protokoll praktisch für Angriffe zu nutzen. Augenscheinlich ist es ihm gelungen, Passwörter von Twitter auszulesen. Bei diesen Versuchen hat er eine Man-in-the-Middle-Attacke durchgeführt und letztlich unter Beweis gestellt, dass die Lücke zwar exotisch sei, in der Praxis aber durchaus relevant sein kann. In technischer Hinsicht hatte Kurmus an den verschlüsselten HTTPS-Request eine eigene Twitter-Nachricht angehängt.

Wegen der TLS-Renegotiation-Schwachstelle erhielt Kurmus den vollständigen HTTP-Request des Opfers in Form von einem Tweet. Darin enthalten sind sowohl der Benutzername als auch das zugehörige Passwort in Base64 kodiert. Eine Entschlüsselung dieser Daten war offenbar ohne größere Mühen möglich.

Die Betreiber von Twitter wurden vermutlich im Vorfeld über diesen Sachverhalt informiert und haben die Lücke bereits geschlossen. Einen offiziellen Patch für dieses seit Anfang Oktober bekannte Problem an sich gibt es nach wie vor nicht.

Bislang haben lediglich die Entwickler von OpenSSL reagiert und die TLS-Renegotiations mit einem Patch unterbunden.
Diese Nachricht empfehlen
Kommentieren17
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Aktuelle IT-Stellenangebote

Jetzt als Amazon Blitzangebot

Ab 16:00 Uhr Logitech Ultimate Harmony Hub Universalfernbedienung
Logitech Ultimate Harmony Hub Universalfernbedienung
Original Amazon-Preis
75,89
Im Preisvergleich ab
59,99
Blitzangebot-Preis
59,99
Ersparnis zu Amazon 21% oder 15,90

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden