Microsoft veröffentlicht Fix-it-Tool für Poodle-Lücke

Microsoft hat ein Fix-it-Tool bereitgestellt, mit der sich SSL 3.0 im Internet Explorer auf einfache Weise deaktivieren (oder auf Wunsch auch wiederherstellen) lässt. Dieser Schritt ist nötig, um sich gegen die als Poodle (PDF) bezeichnete Fehlfunktion in dem 15 Jahre alten Verschlüsselungsprotokoll zu schützen.

Das Tool vereinfacht die Abschaltung von SSL 3.0, indem es die entsprechenden Registry-Einträge automatisch ändert. Alternativ lässt sich die SSL-3.0-Verschlüsselung für Internet Explorer aber weiterhin ähnlich simpel in den Internetoptionen unter dem Reiter „Erweitert“ deaktivieren, indem das Häkchen bei „SSL 3.0 verwenden“ entfernt wird.

Poodle steht für Padding Oracle on Downgraded Legacy Encryption. Die Mitte Oktober von Google-Entwicklern entdeckte Schwachstelle in SSL 3.0 erlaubt das Stehlen eines als „sicher“ geltenden HTTP-Cookies, wodurch ein Angreifer die Identität seines Opfers annehmen kann. An dieses Cookie gelangt man durch das Einfügen von Javascript-Code in eine beliebige HTTP-Verbindung, die dadurch eine Man-in-the-Middle-Attacke ermöglicht.

HIGHLIGHT

Praxis: Browser gegen Lücke in SSL 3.0 absichern

Bis auf Safari lassen sich Desktop-Browser gegen die von Google-Entwicklern entdeckte Lücke im Verschlüsselungsprotokol SSL 3.0 relativ leicht absichern. Auf mobilen Endgeräten ist es schwieriger beziehungsweise zum Teil unmöglich.

Die Sicherheitslücke betrifft sowohl Webserver als auch Browser. Beide müssen neu konfiguriert werden, damit nicht länger das anfällige SSL 3.0 verwendet wird. Aktuell unterstützen fast sämtliche Server noch das alte SSL-3.0-Protokoll aus Kompatibilitätsgründen. Das könnten Angreifer ausnutzen und beispielsweise den Verbindungsaufbau eines Browser mit einer sicheren TLS-Verbindung stören, sodass dieser die ältere Protokollversion verwendet.

Nutzer können sich vor der Schwachstelle schützen, indem sie SSL 3.0 im Browser deaktivieren. Google und Mozilla haben bereit angekündigt, dass die nächsten Versionen ihrer Browser das veraltete Protokoll nicht mehr unterstützen werden. Als Workaround für die aktuellen Varianten wird empfohlen, Chrome mit dem Zusatz –ssl-version-min=tls1 zu starten und für Firefox das Security-Add-on Disable SSL 3.0 zu installieren oder über die Eingabe in der Adressleiste „about:config“ den Wert für den Eintrag „security.tls.version.min“ auf „1“ zu setzen.

Apple hat den Support für SSL 3.0 bereits eingestellt. Seit gestern verwendet es zur Absicherung seines Push-Benachrichtigungsdienstes ausschließlich Transport Layer Security (TLS). Darüber hatte es Provider und Entwickler vor einer Woche informiert.

[mit Material von Larry Seltzer, ZDNet.com]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

ZDNet.de Redaktion

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

15 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

19 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

20 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

20 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

20 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

22 Stunden ago