"POODLE"-Lücke: Verschlüsselung über alte SSL-Version ist unsicher

Sicherheit, Security, Verschlüsselung, schloss, Heartbleed, Tunnel Bildquelle: Softonic
Google-Sicherheitsforscher haben eine schwere Lücke in der SSL-Version 3.0 (SSLv3) entdeckt, damit lässt sich der Standard komplett aushebeln. Das Verschlüsselungsprotokoll wird deshalb in den kommenden Monaten aus allen Clients des Suchmaschinenriesen fliegen, bei Firefox wird das bereits bei der kommenden Version 34 durchgeführt werden.

"Padding Oracle On Downgraded Legacy Encryption"

Die neue und von drei Google-Sicherheitsforschern entdeckte Angriffsmöglichkeit (via Ars Technica) wurde im Security Blog des Unternehmens aus dem kalifornischen Mountain View bekannt gegeben (weitere Details können in einem PDF nachgelesen werden). Der Name POODLE steht für "Padding Oracle On Downgraded Legacy Encryption", das neue Angriffsszenario ist dabei eine Variante des bereits lange bekannten "Padding Oracle."

An sich ist SSLv3 ein bereits veralteter Crypro-Standard und wurde durch Transport Layer Security (TLS) ersetzt bzw. unter diesem Namen weiterentwickelt. Das "Poodle-Problem" besteht darin, dass sich TLS zwingen lässt, ein Downgrade auf eine SSLv3-Verbindung durchzuführen. Obwohl der Standard längst veraltet ist, wird er nämlich nach wie vor von den meisten Servern und auch Clients unterstützt.

Beispielsweise ist SSLv3 eine Voraussetzung für den Internet Explorer 6 (der allerdings inzwischen bzw. längst als obsolet bezeichnet werden kann). POODLE ermöglicht so genannte Man-in-the-Middle-Angriffe, diese können über kompromittierte WLAN-Hotspots oder ISP-Verbindungen durchgeführt werden.

Gegenmittel

Laut Google sei es ausreichend, SSLv3 zu deaktivieren, um das Problem zu mildern, was allerdings auch noch heutzutage zu Kompatibilitätsproblemen führen kann. Man empfiehlt deshalb die Unterstützung von TLS_FALLBACK_SCSV: Mit diesem Mechanismus lässt sich das Problem der fehlgeschlagenen Verbindungen und des folgenden SSL-Neuversuchs unterbinden. Auch TSL-Downgrades (von 1.2 auf 1.1 oder 1.0) werden verhindert, was möglichen künftigen Angriffen vorbeugen soll.

Der Suchmaschinenriese gibt an, dass Chrome und die Server des Konzerns bereits seit Februar TLS_FALLBACK_SCSV unterstützen und man deshalb mit "hoher Wahrscheinlichkeit" sagen könne, dass es damit keine Kompatibilitätsprobleme gebe. Der Fallback auf SSL 3.0 soll außerdem durch diverse Maßnahmen in Chrome verhindert werden, "in den kommenden" Monaten werde man diese SSL-Version schließlich komplett entfernen. Mozilla schließt sich dem an und wird Firefox 34 (kommt am 25. November) bereits ohne SSLv3 verteilen. Verschlüsselung, Ssl, Key Verschlüsselung, Ssl, Key Public Domain
Mehr zum Thema: Chrome
Diese Nachricht empfehlen
Kommentieren2
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 00:00 Uhr Showlite SN-1200 Nebelmaschine (1200W, 350m³ Nebelausstoß/min, 7 Min. Aufwärmzeit) inkl. Funk Fernbedienung
Showlite SN-1200 Nebelmaschine (1200W, 350m³ Nebelausstoß/min, 7 Min. Aufwärmzeit) inkl. Funk Fernbedienung
Original Amazon-Preis
87,99
Im Preisvergleich ab
87,99
Blitzangebot-Preis
76,00
Ersparnis zu Amazon 14% oder 11,99

Tipp einsenden