"POODLE"-Lücke: Verschlüsselung über alte SSL-Version ist unsicher
"Padding Oracle On Downgraded Legacy Encryption"
Die neue und von drei Google-Sicherheitsforschern entdeckte Angriffsmöglichkeit (via Ars Technica) wurde im Security Blog des Unternehmens aus dem kalifornischen Mountain View bekannt gegeben (weitere Details können in einem PDF nachgelesen werden). Der Name POODLE steht für "Padding Oracle On Downgraded Legacy Encryption", das neue Angriffsszenario ist dabei eine Variante des bereits lange bekannten "Padding Oracle."An sich ist SSLv3 ein bereits veralteter Crypro-Standard und wurde durch Transport Layer Security (TLS) ersetzt bzw. unter diesem Namen weiterentwickelt. Das "Poodle-Problem" besteht darin, dass sich TLS zwingen lässt, ein Downgrade auf eine SSLv3-Verbindung durchzuführen. Obwohl der Standard längst veraltet ist, wird er nämlich nach wie vor von den meisten Servern und auch Clients unterstützt.
Beispielsweise ist SSLv3 eine Voraussetzung für den Internet Explorer 6 (der allerdings inzwischen bzw. längst als obsolet bezeichnet werden kann). POODLE ermöglicht so genannte Man-in-the-Middle-Angriffe, diese können über kompromittierte WLAN-Hotspots oder ISP-Verbindungen durchgeführt werden.
Gegenmittel
Laut Google sei es ausreichend, SSLv3 zu deaktivieren, um das Problem zu mildern, was allerdings auch noch heutzutage zu Kompatibilitätsproblemen führen kann. Man empfiehlt deshalb die Unterstützung von TLS_FALLBACK_SCSV: Mit diesem Mechanismus lässt sich das Problem der fehlgeschlagenen Verbindungen und des folgenden SSL-Neuversuchs unterbinden. Auch TSL-Downgrades (von 1.2 auf 1.1 oder 1.0) werden verhindert, was möglichen künftigen Angriffen vorbeugen soll.Der Suchmaschinenriese gibt an, dass Chrome und die Server des Konzerns bereits seit Februar TLS_FALLBACK_SCSV unterstützen und man deshalb mit "hoher Wahrscheinlichkeit" sagen könne, dass es damit keine Kompatibilitätsprobleme gebe. Der Fallback auf SSL 3.0 soll außerdem durch diverse Maßnahmen in Chrome verhindert werden, "in den kommenden" Monaten werde man diese SSL-Version schließlich komplett entfernen. Mozilla schließt sich dem an und wird Firefox 34 (kommt am 25. November) bereits ohne SSLv3 verteilen.
Thema:
Aktuelle Chrome-Downloads
Neue Chrome-Bilder
Videos über den Chrome-Browser
- Chrome: Das sind die neun Feineinstellungen für das Werbetracking
- Chrome und Edge 100: So macht man den Browser bei Problemen fit
- Screenshots kompletter Webseiten im Chrome: So klappt es einfach
- Chrome: So holt ihr "https" und "www" zurück in die Adressleiste
- Chrome 70 bringt Progressive Web Apps für Windows 10-Desktops
Beiträge aus dem Forum
Interessante Links
Jetzt als Amazon Blitzangebot
Ab 07:20 Uhr Doqaus Bluetooth Kopfhörer Over Ear
Original Amazon-Preis
38,99 €
Im Preisvergleich ab
43,99 €
Blitzangebot-Preis
34,99 €
Ersparnis zu Amazon 10% oder 4 €
Neue Nachrichten
- Social Media-Nutzer überziehen Boeing mit Spott - dort lacht man nicht
- Google Maps: Neues Update erleichtert Routenplanung
- Phishing-Betrüger stahl mit ausgeklügelter Masche hohe Geldbeträge
- Twitch verbietet "Butt-Streams" - ja, hier ist "Spielen auf Pos" gemeint
- KI-Hype lässt den Kampf um IT-Fachkräfte völlig eskalieren
- Star Trek 4 kommt doch - wird aber der letzte Teil der Reboot-Filme
- Xbox-Leak: Eine Xbox Series X in weiß und ohne Disk-Laufwerk
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen