"POODLE"-Lücke: Verschlüsselung über alte SSL-Version ist unsicher

Google-Sicherheitsforscher haben eine schwere Lücke in der SSL-Version 3.0 (SSLv3) entdeckt, damit lässt sich der Standard komplett aushebeln. Das Verschlüsselungsprotokoll wird deshalb in den kommenden Monaten aus allen Clients des Suchmaschinenriesen fliegen, bei Firefox wird das bereits bei der kommenden Version 34 durchgeführt werden.
Sicherheit, Security, Verschlüsselung, schloss, Tunnel, Heartbleed
Softonic

"Padding Oracle On Downgraded Legacy Encryption"

Die neue und von drei Google-Sicherheitsforschern entdeckte Angriffsmöglichkeit (via Ars Technica) wurde im Security Blog des Unternehmens aus dem kalifornischen Mountain View bekannt gegeben (weitere Details können in einem PDF nachgelesen werden). Der Name POODLE steht für "Padding Oracle On Downgraded Legacy Encryption", das neue Angriffsszenario ist dabei eine Variante des bereits lange bekannten "Padding Oracle."

An sich ist SSLv3 ein bereits veralteter Crypro-Standard und wurde durch Transport Layer Security (TLS) ersetzt bzw. unter diesem Namen weiterentwickelt. Das "Poodle-Problem" besteht darin, dass sich TLS zwingen lässt, ein Downgrade auf eine SSLv3-Verbindung durchzuführen. Obwohl der Standard längst veraltet ist, wird er nämlich nach wie vor von den meisten Servern und auch Clients unterstützt.

Beispielsweise ist SSLv3 eine Voraussetzung für den Internet Explorer 6 (der allerdings inzwischen bzw. längst als obsolet bezeichnet werden kann). POODLE ermöglicht so genannte Man-in-the-Middle-Angriffe, diese können über kompromittierte WLAN-Hotspots oder ISP-Verbindungen durchgeführt werden.

Gegenmittel

Laut Google sei es ausreichend, SSLv3 zu deaktivieren, um das Problem zu mildern, was allerdings auch noch heutzutage zu Kompatibilitätsproblemen führen kann. Man empfiehlt deshalb die Unterstützung von TLS_FALLBACK_SCSV: Mit diesem Mechanismus lässt sich das Problem der fehlgeschlagenen Verbindungen und des folgenden SSL-Neuversuchs unterbinden. Auch TSL-Downgrades (von 1.2 auf 1.1 oder 1.0) werden verhindert, was möglichen künftigen Angriffen vorbeugen soll.

Der Suchmaschinenriese gibt an, dass Chrome und die Server des Konzerns bereits seit Februar TLS_FALLBACK_SCSV unterstützen und man deshalb mit "hoher Wahrscheinlichkeit" sagen könne, dass es damit keine Kompatibilitätsprobleme gebe. Der Fallback auf SSL 3.0 soll außerdem durch diverse Maßnahmen in Chrome verhindert werden, "in den kommenden" Monaten werde man diese SSL-Version schließlich komplett entfernen. Mozilla schließt sich dem an und wird Firefox 34 (kommt am 25. November) bereits ohne SSLv3 verteilen.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 07:20 Uhr Doqaus Bluetooth Kopfhörer Over EarDoqaus Bluetooth Kopfhörer Over Ear
Original Amazon-Preis
38,99
Im Preisvergleich ab
43,99
Blitzangebot-Preis
34,99
Ersparnis zu Amazon 10% oder 4
Im WinFuture Preisvergleich
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!