Gravierende Sicherheitslücke "Freak" betrifft auch Windows-Rechner

Die Sicherheitslücke "Freak" gefährdet mehr Nutzer als zunächst angenommen. Außer Android- und Apple-Geräten sind auch Windows-Rechner betroffen. Wir verraten, welche Browser das Problem nach jetzigem Stand nicht haben.

Computercode (Symbolbild): Sicherheitsexperten haben einen Weg gefunden, Browsern die Nutzung einer antiquierten Verschlüsselungsform aufzuzwingen
REUTERS

Computercode (Symbolbild): Sicherheitsexperten haben einen Weg gefunden, Browsern die Nutzung einer antiquierten Verschlüsselungsform aufzuzwingen


Die Schwachstelle "Freak" gefährdet Sicherheitsforschern zufolge auch Windows-Rechner. Am Dienstagabend, als die Lücke publik gemacht wurde, schienen zunächst vornehmlich Nutzer von Apple- oder Android-Geräten ein Sicherheitsproblem zu haben.

Microsoft warnt nun aber, dass ebenso alle noch unterstützten Windows-Versionen eine Schwachstelle haben, also beispielsweise Windows 7 und 8.1. Somit sind wohl auch Nutzer des Internet Explorers durch "Freak" gefährdet. Microsoft kündigte an, man werde nach der Untersuchung eine Lösung für das Problem liefern. Bis dahin gibt das Unternehmen einige Sicherheitstipps. Google und Apple hatten bereits Dienstag angekündigt, an Updates zu arbeiten, die das Problem lösen.

Der Tech-Nachrichtenseite "Heise" sagte der Sicherheitsforscher J. Alex Halderman von der Universität Michigan, dass die für den "Freak"-Test präparierten Server zunächst falsch konfiguriert waren. Deshalb hätten sie den Internet Explorer fälschlicherweise als sicher eingestuft.

Die Lücke "Freak" ermöglicht es Angreifern theoretisch, eigentlich geschützten Datenverkehr zu entschlüsseln, wenn die Zielperson mit einem bestimmten Browser von einem bestimmen Computersystem aus bestimmte Websites aufruft. Ob und in welchem Ausmaß solche Angriffe in der Praxis stattfinden, ist unklar.

Die Angriffe, die nur als gezielte Attacken funktionieren können, werden dadurch möglich, dass betroffenen Browsern die Nutzung einer antiquierten Verschlüsselungsform aufgezwungen werden kann. Zumindest Profis könnten diese Verschlüsselung mit heutiger Technik binnen Stunden knacken.

Dass die Verschlüsselungsform noch immer verbreitet ist, geht auf Regelungen aus den Achtziger- und Neunzigerjahren zurück, als es US-Firmen verboten war, effiziente Verschlüsselungstechnologien ins Ausland zu verkaufen. Das Verbot wurde Ende der Neunzigerjahre aufgehoben, die alte und längst unsichere Verschlüsselung verschwand jedoch nicht komplett.

Welche Browser gefährdet sind - und welche nicht

"Heise" hat am Donnerstagabend eine aktualisierte Liste betroffener Browser veröffentlicht. Prinzipiell gefährdet waren zu diesem Zeitpunkt:

  • der Standard-Android-Browser (sein Symbol ist eine blaue Weltkugel)
  • Safari (für iOS, OS X, Windows)
  • Chrome (nur die Versionen für Android und OS X, für letztere ist aber bereits ein Update erschienen)
  • Opera und Opera Mini (für Android, iOS, Linux, OS X)
  • Internet Explorer
  • und der Blackberry Browser

Stand Donnerstagabend waren folgende Browser nicht von der Sicherheitslücke betroffen:

  • Firefox (für Android, Windows, Linux, OS X)
  • Chrome (iOS, Linux, Windows)
  • Opera (Windows-Version)

Anwender, die wissen wollen, ob der Fehler auch sie betrifft, können dies mit einem Online-Test auf FreakAttack.com herausfinden. Ist man mit hoher Wahrscheinlichkeit nicht betroffen, erscheint oben auf blauem Hintergrund die Meldung: "Good News! Your browser appears to be safe from the FREAK attack."

mbö/dpa

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 10 Beiträge
Alle Kommentare öffnen
Seite 1
alfredjosef 06.03.2015
1. Test
Windows 7 system Mozilla Firefox bestand, Chrom auch, IE nicht
meldor 06.03.2015
2. Drei Buchstaben Lücke?
Soso, derzeit nur gezielter Angriff (man in the middle), dazu noch wird eine alte Schwachstelle ausgenutzt. Das riecht doch ziemlich streng nach einer Drei Buchstaben Regierungsagentur, wobei ich allerdings das Land dieser Agentur offen lasse. Das ist übrigens ein Beweis dafür, dass Verschlüsselung mit einer (Regierungs) Hintertür auf Dauer keine sichere Verschlüsselung ist.
eagle29 06.03.2015
3. Danke...
.... für den Schnell-Test !
f669842 06.03.2015
4. Firefox doch betroffen?
Zitat von alfredjosefWindows 7 system Mozilla Firefox bestand, Chrom auch, IE nicht
"Warning! Your browser is vulnerable to the FREAK attack. It can be tricked into using weak encryption if you visit a vulnerable website. We encourage you to update your browser right away." mit Firefox 36.0.1 auf Windows 7 (64 Bit) & aktivem Avast Free Antivirus. Sobald Avast deaktiviert ist, erscheint die Meldung "Good News! Your browser appears to be safe from the FREAK attack." Dieses Verhalten wurde bereits von anderen Nutzern auf heise.de beobachtet, also nicht in zu sehr in Sicherheit wiegen.
louis-winthorpe 06.03.2015
5. Überwachung ...
ist Diktatur. Das AUCH MS mit der kriminellen Drei-Buchstaben-Orga des Drei-Buchstaben-Imperiums zusammenarbeiten muss, so wie Google uns Apple, steht auch in den Snowden-Docs
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.