Sicherheitsforscher: Poodle betrifft auch neuere TLS-Versionen

Sicherheitsforscher haben festgestellt, dass die im Oktober entdeckte und Poodle genannte Lücke im Sicherheitsprotokoll SSL 3.0 auch den Nachfolger Transport Layer Security (TLS) betrifft. Laut Entwickler Adam Langley können Poodle-Angriffe auch gegen TLS-Verbindungen ausgeführt werden, wenn TLS eine Decodierungsfunktion von SSL 3.0 verwendet. Wie Ars Technica berichtet, sind davon auch namhafte Websites betroffen, darunter die Angebote der Bank of America, VMware und des US Department of Veteran’s Affairs.

Demnach handelt es sich um eine Variante der „Padding Oracle on Downgraded Legacy Encryption“ (Poodle) genannten Schwachstelle. Laut Ivan Ristic, Director of Application Security Research beim Sicherheitsunternehmen Qualys, steckt sie auch in der aktuellen TLS-Version 1.2. „Die Auswirkungen dieses Problems sind ähnlich wie bei Poodle“, schreibt er in einem Blogeintrag. Ein Angriff sei allerdings einfacher auszuführen, da ein Downgrade des Clients auf SSL 3.0 nicht mehr notwendig sei.

Ähnlich wie bei Poodle können Hacker bei Angriffen auf TLS 1.x HTTP-Cookies erbeuten und dadurch die Identität eines Nutzers annehmen. An ein Cookie gelangt man durch das Einfügen von JavaScript-Code in eine beliebige HTTP-Verbindung, die dadurch eine Man-in-the-Middle-Attacke ermöglicht.

„Das wichtigste Ziel sind Browser, da ein Angreifer schädliches JavaScript einfügen muss, um einen Angriff auszulösen“, heißt es weiter im Qualys-Blog. „Ein erfolgreicher Angriff benötigt rund 256 Anfragen um ein Cookie-Zeichen zu enthüllen, oder nur 4096 Anfragen für ein 16-Zeichen-Cookie. Das macht die Attacke recht praktikabel.“

HIGHLIGHT

Praxis: Browser gegen Lücke in SSL 3.0 absichern

Bis auf Safari lassen sich Desktop-Browser gegen die von Google-Entwicklern entdeckte Lücke im Verschlüsselungsprotokol SSL 3.0 relativ leicht absichern. Auf mobilen Endgeräten ist es schwieriger beziehungsweise zum Teil unmöglich.

Langley hat nach eigenen Angaben schon im Oktober betroffene Websites entdeckt. Sie nutzen ihm zufolge Load-Balancing-Produkte von F5 Networks oder A10 Networks für TLS-Verbindungen. Beide Hersteller hätten inzwischen Patches für ihre Produkte veröffentlicht. Trotzdem sind Ristic zufolge noch rund zehn Prozent aller Websites anfällig für die neuen Poodle-Angriffe auf TLS.

Ursprünglich waren die Forscher davon ausgegangen, dass nur SSL 3.0 betroffen ist, das durch TLS 1.0 (entspricht SSL 3.1), 1.1 und 1.2 abgelöst wurde. Trotz des Alters des SSL-3.0-Protokolls waren viele Server von der Schwachstelle betroffen, da sie aus Kompatibilitätsgründen immer noch SSL 3.0 unterstützten. Browser-Hersteller wie Google und Mozilla haben den Support für SSL 3.0 inzwischen vollständig eingestellt.

Qualys hat seinen SSL-Test aktualisiert. Website-Betreiber, die prüfen wollen, ob ihre Server anfällig sind, können den Qualys SSL Labs Server Test kostenlos nutzen. Für Clients steht ebenfalls ein Test zur Verfügung.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

9 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

13 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

14 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

15 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

15 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

17 Stunden ago