Poodle-Lücke: Apple sichert Safari in Beta-Versionen ab

In den aktuellen Beta-Versionen von iOS 9 und OS X 10.11 El Capitan schützt Apple seinen Browser Safari zusätzlich gegen die Poodle-Lücke. Auf Betriebssystemebene hatte es die von Google-Forschern im Herbst 2014 entdeckte Schwachstelle bereits behoben. Sämtliche Verbindungsversuche, die auf Basis der Poodle-Lücke initiiert werden, blockieren OS X und iOS automatisch.

Apple schreibt dazu in einem Supportdokument Folgendes: „Es gibt bekannte Angriffe auf die Vertraulichkeit von SSL 3.0, wenn eine Cipher Suite einen Block-Cipher im CBC-Modus verwendet. Ein Angreifer könnte die Nutzung von SSL 3.0 erzwingen, auch wenn der Server eine bessere TLS-Version unterstützt, indem Verbindungsversuche mit TLS 1.0 und höher blockiert werden. Dieses Problem wurde behoben, indem CBC Cipher Suites deaktiviert werden, wenn eine TLS-Verbindung fehlschlägt.“

Dennoch wurde Safari bei gängigen Tests als „unsicher“ eingestuft, was laut einigen Sicherheitsspezialisten daran liegt, dass  entgegen Apples Behauptung Safari nach wie vor Block-Cipher im CBC-Modus zur Verbindungsaufnahme nutzt.

Anders als seine Vorgänger unterstützt der Apple-Browser in Version 9, der Bestandteil der Beta-2-Versionen von OS X 10.11 El Capitan und iOS 9 ist, kein SSL3 mehr. Somit kann er nicht mehr gegenüber der Poodle-Lücke anfällig sein. Während Safari 8 sowohl mit OS X 10.10 wie auch mit iOS 8 den Poodle-Test nicht besteht, fällt das Testergebnis für Safari 9 positiv aus.

Die von den Entdeckern mit Poodle (Padding Oracle on Downgraded Legacy Encryption) bezeichnete Fehlfunktion erlaubt das Stehlen eines als „sicher“ geltenden HTTP-Cookies, wodurch ein Angreifer die Identität seines Opfers annehmen kann. An dieses Cookie gelangt man durch das Einfügen von Javascript-Code in eine beliebige HTTP-Verbindung, die dadurch eine Man-in-the-Middle-Attacke ermöglicht.

Allerdings schätzen Sicherheitsforscher die tatsächliche Gefahr durch die Poodle-Lücke als gering ein, da eine Man-in-the-Middle-Attacke nur möglich ist, wenn sich der Browser oder andere Anwendungen wie E-Mail-Clients über ein unverschlüsseltes Netzwerk mit dem Internet verbinden. Wer keine unverschlüsselten WLAN-Hotspots nutzt oder ein VPN verwendet, ist generell nicht durch die Poodle-Lücke gefährdet.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.