Microsoft stellt Workaround für TLS-Lücke bereit

Windows, Logo, Bootscreen Bildquelle: McBanana / Deviantart
Vor Kurzem sorgte die Ankündigung von zwei Sicherheitsforschern im Zusammenhang mit einer Problematik bei der Verschlüsselungstechnik TLS für Aufsehen im Internet. Nun hat Microsoft darauf reagiert.
Die Entwickler aus Redmond haben ein Fix-it-Tool für Windows 7 und Server 2008 R2 zur Verfügung gestellt. Grundsätzlich sind auch die Nutzer der Betriebssysteme Windows XP, Server 2003, Vista und Server 2008 Gefahren im Hinblick auf die angesprochene Problematik ausgesetzt.

Den getroffenen Angaben von Microsoft zufolge wird der Internet Explorer unter Windows 7 und Server 2008 R2 durch diesen Workaround so konfiguriert, dass TLS 1.1 oder TLS 1.2 zum Einsatz kommen. Im Gegensatz zur Version 1.0 von TLS sollen diese Ausführungen nicht angreifbar sein. Dies bedeutet jedoch nicht zwangsläufig, dass TLS 1.0 nicht mehr verwendet wird. Sollte ein Webserver keine neuere TLS-Version unterstützen, so würde der Browser auch weiterhin eine Verbindung per TLS 1.0 aufbauen, heißt es.

Überdies empfiehlt Microsoft die Sicherheitsstufe für die Zone "Internet" auf "hoch" zu stellen. Auf diese Weise kann man ActiveX Controls und Active Scripting abschalten, so die Entwickler aus Redmond.

Eine von Microsoft durchgeführte Untersuchung hat ergeben, dass die Gefahren für die Anwender gegenwärtig noch sehr gering sein sollen. Ferner geht man nicht davon aus, dass die Sicherheitsproblematik momentan aktiv von Angreifern ins Visier genommen wird.

Nähere Informationen zur erwähnten TLS-Problematik "Browser Exploit Against SSL/TLS" (BEAST) wurden im Zuge der Ekoparty-Sicherheitskonferenz in Argentinien von zwei Sicherheitsexperten zur Sprache gebracht. Thai Duong, einer der beiden Experten, erklärte, dass die Problematik seit der ersten Version von SSL existiert. Bislang ging man jedoch davon aus, dass sich die Lücke nicht aktiv ausnutzen lässt. Aus diesem Grund wurde die Problematik über mehrere Jahre hinweg offenbar ignoriert.

In einem konkreten Fall ist es den Experten nun jedoch gelungen, sich mit einem JavaScript-Tool zwischen Endnutzer und Anbieter einzuschleusen. Dies war ihnen den Schilderungen zufolge im Zusammenhang mit dem Online-Bezahldienstleister PayPal möglich. Das Unternehmen hat bereits auf diese Meldung reagiert und die Sicherheit verstärkt. Windows, Logo, Bootscreen Windows, Logo, Bootscreen Mcbanana / Deviantart
Diese Nachricht empfehlen
Kommentieren9
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr tax 2017 Professional (für Steuerjahr 2016)
tax 2017 Professional (für Steuerjahr 2016)
Original Amazon-Preis
29,99
Im Preisvergleich ab
28,99
Blitzangebot-Preis
22,99
Ersparnis zu Amazon 23% oder 7

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Tipp einsenden