Sicherheitsforscher haben festgestellt, dass die im Oktober entdeckte und Poodle genannte Lücke im Sicherheitsprotokoll SSL 3.0 auch den Nachfolger Transport Layer Security (TLS) betrifft. Laut Entwickler Adam Langley können Poodle-Angriffe auch gegen TLS-Verbindungen ausgeführt werden, wenn TLS eine Decodierungsfunktion von SSL 3.0 verwendet. Wie Ars Technica berichtet, sind davon auch namhafte Websites betroffen, darunter die Angebote der Bank of America, VMware und des US Department of Veteran’s Affairs.
Ähnlich wie bei Poodle können Hacker bei Angriffen auf TLS 1.x HTTP-Cookies erbeuten und dadurch die Identität eines Nutzers annehmen. An ein Cookie gelangt man durch das Einfügen von JavaScript-Code in eine beliebige HTTP-Verbindung, die dadurch eine Man-in-the-Middle-Attacke ermöglicht.
„Das wichtigste Ziel sind Browser, da ein Angreifer schädliches JavaScript einfügen muss, um einen Angriff auszulösen“, heißt es weiter im Qualys-Blog. „Ein erfolgreicher Angriff benötigt rund 256 Anfragen um ein Cookie-Zeichen zu enthüllen, oder nur 4096 Anfragen für ein 16-Zeichen-Cookie. Das macht die Attacke recht praktikabel.“
Bis auf Safari lassen sich Desktop-Browser gegen die von Google-Entwicklern entdeckte Lücke im Verschlüsselungsprotokol SSL 3.0 relativ leicht absichern. Auf mobilen Endgeräten ist es schwieriger beziehungsweise zum Teil unmöglich.
Langley hat nach eigenen Angaben schon im Oktober betroffene Websites entdeckt. Sie nutzen ihm zufolge Load-Balancing-Produkte von F5 Networks oder A10 Networks für TLS-Verbindungen. Beide Hersteller hätten inzwischen Patches für ihre Produkte veröffentlicht. Trotzdem sind Ristic zufolge noch rund zehn Prozent aller Websites anfällig für die neuen Poodle-Angriffe auf TLS.
Ursprünglich waren die Forscher davon ausgegangen, dass nur SSL 3.0 betroffen ist, das durch TLS 1.0 (entspricht SSL 3.1), 1.1 und 1.2 abgelöst wurde. Trotz des Alters des SSL-3.0-Protokolls waren viele Server von der Schwachstelle betroffen, da sie aus Kompatibilitätsgründen immer noch SSL 3.0 unterstützten. Browser-Hersteller wie Google und Mozilla haben den Support für SSL 3.0 inzwischen vollständig eingestellt.
Qualys hat seinen SSL-Test aktualisiert. Website-Betreiber, die prüfen wollen, ob ihre Server anfällig sind, können den Qualys SSL Labs Server Test kostenlos nutzen. Für Clients steht ebenfalls ein Test zur Verfügung.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.