Zero-Day-Lücke im SSL/TLS-Verschlüsselungsprotokoll entdeckt

Die Sicherheitsforscher Marsh Ray und Steve Dispensa haben am Mittwoch Informationen zu einer Schwachstelle im Verschlüsselungsprotokoll Transport Layer Security (TLS) veröffentlicht. TLS und dessen Vorgänger SSL (Secure Sockets Layer) werden üblicherweise von Onlinehändlern und Banken verwenden, um Transaktionen über das Internet abzusichern.

Wie Ray, der zusammen mit Dispensa beim Sicherheitsunternehmen PhoneFactor arbeitet, in einem Blogeintrag erklärt, hat er den Fehler im August entdeckt und Anfang September seinem Kollegen demonstriert. Eine Schwachstelle im Authentifizierungsprozess von TLS ermögliche es Außenstehenden, die Browsersitzung eines Anwenders zu übernehmen und an dessen Stelle fortzuführen.

Darüber hinaus kann die Lücke den Forschern zufolge für Man-in-the-middle-Angriffe gegen HTTPS-Server verwendet werden. Hypertext Transfer Protocol Secure ist eine Kombination aus HTTP und TLS, die für die meisten Online-Finanzdienste zum Einsatz kommt. Nach Angaben von PhoneFactor betrifft die Lücke die Mehrheit der mit SSL geschützten Server im Internet.

Der Sicherheitsforscher Chris Paget schätzt, dass der Fehler für einen längeren Zeitraum ein Problem darstellen wird. Es gebe Tausende Software-Update-Mechanismen im Internet, die von SSL abhängig seien, schreibt Paget in seinem Blog. „Das ist ein Problem auf Protokollebene. Eine Reparatur erfordert Änderungen an der Funktionsweise von SSL und TLS.“

Ray und Dispensa haben ihre Entdeckung an das Industry Consortium for Advancement of Security on the Internet (Icasi) und die Internet Engineering Task Force (IETF) sowie Programmierer von Open-Source-Implementierungen von SSL weitergegeben. Am 29. September riefen die Gruppen bei einem Treffen das Projekt „Mogul“ ins Leben, das die Beseitigung der Lücke koordiniert. Ray erwartet, dass die Schwachstelle vorläufig durch eine Protokollerweiterung geschlossen wird. Ein erster Vorschlag dafür soll in Kürze vorliegen.