Die als „Poodle“ (Padding Oracle on Downgraded Legacy Encryption) bezeichnete Fehlfunktion erlaubt das Stehlen eines als „sicher“ geltenden HTTP-Cookies. Dadurch kann ein Angreifer die Identität seines Opfers annehmen. Die Lücke im Verschlüsselungsprotokoll SSL 3.0 haben die Google-Entwickler Bodo Möller, Thai Duang und Krzysztof Kotowicz entdeckt. Trotz seines Alters von 15 Jahren wird SSL 3.0 aus Kompatibilitätgründen noch fast von jedem Web-Server, der verschlüsselte Verbindungen erlaubt, genutzt. Die Entdecker der Lücke empfehlen daher, SSL 3.0 im Browser auszuschalten. Doch das gelingt nicht immer.
Für Nutzer des Open-Source-Browsers Firefox ist die Deaktivierung einfach. Hierfür gibt man in der Adressleiste „about:config“ ein und setzt die Option “security.tls.version.min” auf “1″. Dadurch wird Firefox angewiesen zur Verschlüsselung das SSL-Nachfolgeprotokoll Transport Layer Security (TLS) zu nutzen. Alternativ installiert man das Add-on Disable SSL 3.0. So konfiguriert ergibt der Test auf https://www.poodletest.com/ keine Anfälligkeit für die Lücke in SSL 3.0. Praktischerweise funktioniert dies mit der mobilen Version des Mozilla-Browser unter Android genauso.
Auch Chrome erlaubt die Deaktivierung von SSL 3.0. Allerdings muss man hierfür beim Start des Google-Browsers den Parameter „–ssl-version-min=tls1″ übergeben. Unter Windows markiert man hierfür den entsprechenden Programmeintrag im Startmenü mit der rechten Maustaste, klickt auf Eigenschaften und ergänzt im Feld Ziel den Eintrag mit dem Startparameter. Vorsicht: Nutzt man mehrere Chrome-Verknüpfungen, muss man bei jeder einzelnen den Startparameter hinzufügen.
Unter OS X hilft ein Shell-Script, das folgenden Inhalt hat: open -a /Applications/Google\ Chrome.app/ --args --ssl-version-min=tls1
Speichert man das Script mit der Endung .command, lässt es sich mit einem Maus-Doppelklick aktivieren und Chrome wird gestartet. Falls der Test unter https://www.poodletest.com/ trotz der Einstellung als Ergebnis „Vulnerable“ ergibt, sollte man unter Einstellungen – Erweiterte Einstellungen die Browserdaten löschen. Unter iOS und Android funktioniert die Übergabe des Startparameters standardmäßig nicht. Google hat aber bereits wie Mozilla angekündigt, die Unterstützung für SSL 3.0 in der nächsten Browserversion zu deaktivieren.
Microsofts Browser Internet Explorer erlaubt ebenfalls die Deaktivierung von SSL 3.0. Hierzu schaltet man die Option “SSL 3.0 verwenden” unter Internetoptionen – Erweitert einfach aus. Die Unterstützung für SSL 2.0 ist bereits standardmäßig nicht aktiv. Unter Windows Phone gibt es derzeit keine Möglichkeit, die Unterstützung des Internet Explorers für SSL 3.0 abzuschalten.
Auch für Safari ist bisher keine Möglichkeit bekannt, die Unterstützung für SSL 3.0 zu deaktivieren. Sowohl die OS X- als auch die iOS-Variante sind somit anfällig für die Sicherheitslücke.
Mozilla und Google haben angekündigt, die Unterstützung für SSL 3.0 in der nächsten Version ihrer Browser standardmäßig auszuschalten. Mit Firefox 34 und Chrome 39 ist man damit auf der sicheren Seite. Auch mit den hier geschilderten Möglichkeiten ist man mit den aktuellen Versionen von Chrome, Internet Explorer und Firefox gegenüber der Lücke in SSL 3.0 gewappnet. Vorsicht ist allerdings auf mobilen Geräten geboten. Weder Chrome noch Internet Explorer bieten unter Android respektive Windows Phone die Möglichkeit, die Unterstützung für das 15 Jahre alte Verschlüsselungsprotokoll zu deaktivieren. Gleiches gilt für Safari-Nutzer: Weder die Desktop-Version noch die iOS-Variante lässt sich gegenüber der SSL-Lücke absichern. Bis Apple einen Patch bereitstellt, sollte man unter OS X Firefox verwenden und unter iOS Webseiten, die eine verschlüsselte Verbindung verlangen, meiden. Für Android empfielt sich ebenfalls der Einsatz von Firefox. Sicher können sich Blackberry-User fühlen: Der in Blackberry 10.2.2 integrierte Web-Browser ist immun gegen die SSL-Lücke.
Das Abschalten der SSL-3.0-Kompatbilität hat allerdings auch Nachteile. Einige Webserver bieten keine Unterstützung für das sicherere TLS-Protokoll. Die University of Michigan hat eine entsprechende Liste von Diensten veröffentlicht, die lediglich SSL-3.0-Unterstützung aber keinen TLS-Support bieten. Dazu zählt etwa die Citibank und Marketwatch.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…