Neue SSL Sicherheitslücke in Webservern und Browsern entdeckt. Schützen Sie sich und Ihren Browser vor Angreifern.

Kaum haben sich die Wogen um die SSL-Sicherheitslücke HEARTBLEED gelegt, so kommt schon wieder eine neue Lücke zum Vorschein, die diesmal auf den Namen POODLE hört.

Poodle steht für Padding Oracle on Downgraded Legacy Encryption. Die vor rund einer Woche von Google-Entwicklern entdeckte Schwachstelle in SSL 3.0 erlaubt das Stehlen eines als “sicher” geltenden HTTP-Cookies, wodurch ein Angreifer die Identität seines Opfers annehmen kann. An dieses Cookie gelangt man durch das Einfügen von Javascript-Code in eine beliebige HTTP-Verbindung, die dadurch eine Man-in-the-Middle-Attacke ermöglicht.

Die Sicherheitslücke betrifft sowohl Webserver als auch Browser. Beide müssen neu konfiguriert werden, damit nicht länger das anfällige SSL 3.0 verwendet wird. Aktuell unterstützen fast sämtliche Server noch das alte SSL-3.0-Protokoll aus Kompatibilitätsgründen. Das könnten Angreifer ausnutzen und beispielsweise den Verbindungsaufbau eines Browser mit einer sicheren TLS-Verbindung stören, sodass dieser die ältere Protokollversion verwendet.

Nutzer können sich vor der Schwachstelle schützen, indem sie SSL 3.0 im Browser deaktivieren. Google und Mozilla haben bereits angekündigt, dass die nächsten Versionen ihrer Browser das veraltete Protokoll nicht mehr unterstützen werden. Als Workaround für die aktuellen Varianten wird empfohlen, Chrome mit dem Zusatz –ssl-version-min=tls1 zu starten und für Firefox das Security-Add-on Disable SSL 3.0 zu installieren oder über die Eingabe in der Adressleiste “about:config” den Wert für den Eintrag “security.tls.version.min” auf “1″ zu setzen. Microsofts Browser Internet Explorer erlaubt ebenfalls die Deaktivierung von SSL 3.0. Hierzu schaltet man die Option “SSL 3.0 verwenden” unter Internetoptionen – Erweitert einfach aus.

Haben Sie fragen zu dieser Sicherheitslücke, dann setzen Sie sich mit uns in Verbindung.

Quelle: ZDNET