Microsoft veröffentlicht Fix-it-Tool für Poodle-Lücke

Microsoft hat ein Fix-it-Tool bereitgestellt, mit der sich SSL 3.0 im Internet Explorer auf einfache Weise deaktivieren (oder auf Wunsch auch wiederherstellen) lässt. Dieser Schritt ist nötig, um sich gegen die als Poodle (PDF) bezeichnete Fehlfunktion in dem 15 Jahre alten Verschlüsselungsprotokoll zu schützen.

Das Tool vereinfacht die Abschaltung von SSL 3.0, indem es die entsprechenden Registry-Einträge automatisch ändert. Alternativ lässt sich die SSL-3.0-Verschlüsselung für Internet Explorer aber weiterhin ähnlich simpel in den Internetoptionen unter dem Reiter „Erweitert“ deaktivieren, indem das Häkchen bei „SSL 3.0 verwenden“ entfernt wird.

Poodle steht für Padding Oracle on Downgraded Legacy Encryption. Die Mitte Oktober von Google-Entwicklern entdeckte Schwachstelle in SSL 3.0 erlaubt das Stehlen eines als „sicher“ geltenden HTTP-Cookies, wodurch ein Angreifer die Identität seines Opfers annehmen kann. An dieses Cookie gelangt man durch das Einfügen von Javascript-Code in eine beliebige HTTP-Verbindung, die dadurch eine Man-in-the-Middle-Attacke ermöglicht.

HIGHLIGHT

Praxis: Browser gegen Lücke in SSL 3.0 absichern

Bis auf Safari lassen sich Desktop-Browser gegen die von Google-Entwicklern entdeckte Lücke im Verschlüsselungsprotokol SSL 3.0 relativ leicht absichern. Auf mobilen Endgeräten ist es schwieriger beziehungsweise zum Teil unmöglich.

Die Sicherheitslücke betrifft sowohl Webserver als auch Browser. Beide müssen neu konfiguriert werden, damit nicht länger das anfällige SSL 3.0 verwendet wird. Aktuell unterstützen fast sämtliche Server noch das alte SSL-3.0-Protokoll aus Kompatibilitätsgründen. Das könnten Angreifer ausnutzen und beispielsweise den Verbindungsaufbau eines Browser mit einer sicheren TLS-Verbindung stören, sodass dieser die ältere Protokollversion verwendet.

Nutzer können sich vor der Schwachstelle schützen, indem sie SSL 3.0 im Browser deaktivieren. Google und Mozilla haben bereit angekündigt, dass die nächsten Versionen ihrer Browser das veraltete Protokoll nicht mehr unterstützen werden. Als Workaround für die aktuellen Varianten wird empfohlen, Chrome mit dem Zusatz –ssl-version-min=tls1 zu starten und für Firefox das Security-Add-on Disable SSL 3.0 zu installieren oder über die Eingabe in der Adressleiste „about:config“ den Wert für den Eintrag „security.tls.version.min“ auf „1“ zu setzen.

Apple hat den Support für SSL 3.0 bereits eingestellt. Seit gestern verwendet es zur Absicherung seines Push-Benachrichtigungsdienstes ausschließlich Transport Layer Security (TLS). Darüber hatte es Provider und Entwickler vor einer Woche informiert.

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Hackerangriffe auf Zero-Day-Lücke in Ivanti Connect Secure VPN

Mindestens ein Bedrohungsakteur hat Verbindungen nach China. Die Zero-Day-Lücke erlaubt die vollständige Kontrolle von Ivanti…

2 Tagen ago

Smartphonemarkt wächst 2025 voraussichtlich um 4,6 Prozent

Der Trend hin zu Premium-Smartphones hält an. Dieses Segment verbessert sich wahrscheinlich um mehr als…

3 Tagen ago

Roboter mit LiDAR-Laser erkundet Gefahrenzonen

Bisher wurden nur Kameras eingesetzt, die Bilddaten liefern. Mit dem Laser soll es möglich werden,…

3 Tagen ago

Augmented Reality: private Nutzung holt auf

Anwendung der Technologie im B2C-Umfeld steigt von 19 auf 28 Prozent. Kamerafilter und Spiele sind…

3 Tagen ago

Private/Hybrid-Cloud: Kleinere Anbieter mischen Mittelstandsmarkt auf

ISG-Studie: Globale Systemintegratoren zunehmend unter Wettbewerbsdruck. Zahlreiche Fusionen mit Hilfe von Private-Equity-Kapital.

3 Tagen ago

Sicherheitsupdate für Chrome 131 schließt vier Lücken

Eine Anfälligkeit erlaubt eine Remotecodeausführung innerhalb der Sandbox von Chrome. Betroffen sind Chrome 131 und…

3 Tagen ago