"POODLE"-Lücke: Verschlüsselung über alte SSL-Version ist unsicher
Google-Sicherheitsforscher haben eine schwere Lücke in der SSL-Version 3.0 (SSLv3) entdeckt, damit lässt sich der Standard komplett aushebeln. Das Verschlüsselungsprotokoll wird deshalb in den kommenden Monaten aus allen Clients des Suchmaschinenriesen fliegen, bei Firefox wird das bereits bei der kommenden Version 34 durchgeführt werden.
An sich ist SSLv3 ein bereits veralteter Crypro-Standard und wurde durch Transport Layer Security (TLS) ersetzt bzw. unter diesem Namen weiterentwickelt. Das "Poodle-Problem" besteht darin, dass sich TLS zwingen lässt, ein Downgrade auf eine SSLv3-Verbindung durchzuführen. Obwohl der Standard längst veraltet ist, wird er nämlich nach wie vor von den meisten Servern und auch Clients unterstützt.
Beispielsweise ist SSLv3 eine Voraussetzung für den Internet Explorer 6 (der allerdings inzwischen bzw. längst als obsolet bezeichnet werden kann). POODLE ermöglicht so genannte Man-in-the-Middle-Angriffe, diese können über kompromittierte WLAN-Hotspots oder ISP-Verbindungen durchgeführt werden.
Der Suchmaschinenriese gibt an, dass Chrome und die Server des Konzerns bereits seit Februar TLS_FALLBACK_SCSV unterstützen und man deshalb mit "hoher Wahrscheinlichkeit" sagen könne, dass es damit keine Kompatibilitätsprobleme gebe. Der Fallback auf SSL 3.0 soll außerdem durch diverse Maßnahmen in Chrome verhindert werden, "in den kommenden" Monaten werde man diese SSL-Version schließlich komplett entfernen. Mozilla schließt sich dem an und wird Firefox 34 (kommt am 25. November) bereits ohne SSLv3 verteilen.
"Padding Oracle On Downgraded Legacy Encryption"
Die neue und von drei Google-Sicherheitsforschern entdeckte Angriffsmöglichkeit (via Ars Technica) wurde im Security Blog des Unternehmens aus dem kalifornischen Mountain View bekannt gegeben (weitere Details können in einem PDF nachgelesen werden). Der Name POODLE steht für "Padding Oracle On Downgraded Legacy Encryption", das neue Angriffsszenario ist dabei eine Variante des bereits lange bekannten "Padding Oracle."An sich ist SSLv3 ein bereits veralteter Crypro-Standard und wurde durch Transport Layer Security (TLS) ersetzt bzw. unter diesem Namen weiterentwickelt. Das "Poodle-Problem" besteht darin, dass sich TLS zwingen lässt, ein Downgrade auf eine SSLv3-Verbindung durchzuführen. Obwohl der Standard längst veraltet ist, wird er nämlich nach wie vor von den meisten Servern und auch Clients unterstützt.
Beispielsweise ist SSLv3 eine Voraussetzung für den Internet Explorer 6 (der allerdings inzwischen bzw. längst als obsolet bezeichnet werden kann). POODLE ermöglicht so genannte Man-in-the-Middle-Angriffe, diese können über kompromittierte WLAN-Hotspots oder ISP-Verbindungen durchgeführt werden.
Gegenmittel
Laut Google sei es ausreichend, SSLv3 zu deaktivieren, um das Problem zu mildern, was allerdings auch noch heutzutage zu Kompatibilitätsproblemen führen kann. Man empfiehlt deshalb die Unterstützung von TLS_FALLBACK_SCSV: Mit diesem Mechanismus lässt sich das Problem der fehlgeschlagenen Verbindungen und des folgenden SSL-Neuversuchs unterbinden. Auch TSL-Downgrades (von 1.2 auf 1.1 oder 1.0) werden verhindert, was möglichen künftigen Angriffen vorbeugen soll.Der Suchmaschinenriese gibt an, dass Chrome und die Server des Konzerns bereits seit Februar TLS_FALLBACK_SCSV unterstützen und man deshalb mit "hoher Wahrscheinlichkeit" sagen könne, dass es damit keine Kompatibilitätsprobleme gebe. Der Fallback auf SSL 3.0 soll außerdem durch diverse Maßnahmen in Chrome verhindert werden, "in den kommenden" Monaten werde man diese SSL-Version schließlich komplett entfernen. Mozilla schließt sich dem an und wird Firefox 34 (kommt am 25. November) bereits ohne SSLv3 verteilen.
Thema:
Aktuelle Chrome-Downloads
Videos über den Chrome-Browser
-
Chrome: Das sind die neun Feineinstellungen für das Werbetracking
-
Chrome und Edge 100: So macht man den Browser bei Problemen fit
-
Screenshots kompletter Webseiten im Chrome: So klappt es einfach
-
Chrome: So holt ihr "https" und "www" zurück in die Adressleiste
-
Chrome 70 bringt Progressive Web Apps für Windows 10-Desktops
Beiträge aus dem Forum
-
Wie kann ich mir in Google Chrome Cookies anzeigen lassen?
DON666 -
PDF Icon / Logo / Symbol ändern von Chrome als PDF Viewer, nur das Ico
Liftboy -
Sollte ich von Chrome auf Firefox wechseln? Bitte um Hilfe
joe13 -
WIn11 aktiviert aber Updates gehen nicht und Chrome auch nicht
MSFreak -
Chrome Dateiprüfung ausschalten
Andrew0
Interessante Links
Neue Nachrichten
- Großer Juni-Sale: Neue Weekend-Deals jetzt bei Media Markt & Saturn
- Unreal Engine 6: Epic enthüllt das Release-Jahr und neue Features
- Epic Games Store 2.0: Launcher bekommt riesiges 'Rettungs'-Update
- Gutachten: Reiches neues Heizungsgesetz ist verfassungswidrig
- Geld-Glitch in Forza Horizon 6: Studio bestrafte Exploit-Nutzer
- Dann geh doch zu DuckDuckGo! Googles eigene KI empfiehlt Konkurrenz
- Valve Steam Controller: Lieferung bei Bestellung heute erst 2027
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen