Categories: BrowserWorkspace

Poodle-Lücke: Apple sichert Safari in Beta-Versionen ab

In den aktuellen Beta-Versionen von iOS 9 und OS X 10.11 El Capitan schützt Apple seinen Browser Safari zusätzlich gegen die Poodle-Lücke. Auf Betriebssystemebene hatte es die von Google-Forschern im Herbst 2014 entdeckte Schwachstelle bereits behoben. Sämtliche Verbindungsversuche, die auf Basis der Poodle-Lücke initiiert werden, blockieren OS X und iOS automatisch.

Apple schreibt dazu in einem Supportdokument Folgendes: „Es gibt bekannte Angriffe auf die Vertraulichkeit von SSL 3.0, wenn eine Cipher Suite einen Block-Cipher im CBC-Modus verwendet. Ein Angreifer könnte die Nutzung von SSL 3.0 erzwingen, auch wenn der Server eine bessere TLS-Version unterstützt, indem Verbindungsversuche mit TLS 1.0 und höher blockiert werden. Dieses Problem wurde behoben, indem CBC Cipher Suites deaktiviert werden, wenn eine TLS-Verbindung fehlschlägt.

Dennoch wurde Safari bei gängigen Tests als „unsicher“ eingestuft, was laut einigen Sicherheitsspezialisten daran liegt, dass  entgegen Apples Behauptung Safari nach wie vor Block-Cipher im CBC-Modus zur Verbindungsaufnahme nutzt.

Anders als seine Vorgänger unterstützt der Apple-Browser in Version 9, der Bestandteil der Beta-2-Versionen von OS X 10.11 El Capitan und iOS 9 ist, kein SSL3 mehr. Somit kann er nicht mehr gegenüber der Poodle-Lücke anfällig sein. Während Safari 8 sowohl mit OS X 10.10 wie auch mit iOS 8 den Poodle-Test nicht besteht, fällt das Testergebnis für Safari 9 positiv aus.

Die von den Entdeckern mit Poodle (Padding Oracle on Downgraded Legacy Encryption) bezeichnete Fehlfunktion erlaubt das Stehlen eines als „sicher“ geltenden HTTP-Cookies, wodurch ein Angreifer die Identität seines Opfers annehmen kann. An dieses Cookie gelangt man durch das Einfügen von Javascript-Code in eine beliebige HTTP-Verbindung, die dadurch eine Man-in-the-Middle-Attacke ermöglicht.

Allerdings schätzen Sicherheitsforscher die tatsächliche Gefahr durch die Poodle-Lücke als gering ein, da eine Man-in-the-Middle-Attacke nur möglich ist, wenn sich der Browser oder andere Anwendungen wie E-Mail-Clients über ein unverschlüsseltes Netzwerk mit dem Internet verbinden. Wer keine unverschlüsselten WLAN-Hotspots nutzt oder ein VPN verwendet, ist generell nicht durch die Poodle-Lücke gefährdet.

Safari 9 besteht den Poodle-Test (Screenshot: ZDNet.de)

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

26 Minuten ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

16 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

20 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

21 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

22 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

22 Stunden ago