Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.

SSL-Sicherheitslücke: Poodle betrifft bis zu zehn Prozent aller Webseiten

PayPal-Seite: Auch sie wird von den Sicherheitsexperten genannt Zur Großansicht
REUTERS

PayPal-Seite: Auch sie wird von den Sicherheitsexperten genannt

Im Oktober hat Google eine Sicherheitslücke in der Web-Verschlüsselung bekannt gemacht. Eine Studie zeigt jetzt: Sie macht auch jetzt noch einige der größten Webseiten der Welt unsicher.

Softwareentwickler und Sicherheitsexperten haben entdeckt, dass die ursprünglich von Google entdeckte Poodle-Sicherheitslücke doch schlimmer ist als zunächst angenommen. Laut Messungen des US-Sicherheitsunternehmens Qualys könnten bis zu zehn Prozent aller Webseiten der Welt betroffen sein. Dazu gehören auch große Unternehmen wie die Bank of America, VMWare und PayPal. Ihnen ist gemein, dass Ihre Server auf bestimmte Angriffe reagieren könnten statt die Anfragen abzulehnen.

Die Abkürzung Poodle steht für "Padding Oracle On Downgraded Legacy Encryption", einen Angriff, der sich eine Schwachstelle in der fast 18 Jahre alten SSL-Verschlüsselung zunutze macht. Poodle ermöglicht es Angreifern, über Fehler im Verschlüsselungsprotokoll SSL 3.0 Daten von Servern und Client-Rechnern abzufangen.

Der Angriff setzt auf dem Prinzip auf, dass der Server bei missglückten Verbindungsaufbauten auf eine ältere Verschlüsselungsversion zurückgreift, um überhaupt eine Verbindung zu ermöglichen. Gelingt es dem Angreifer, den Server zu einer Verbindung per SSL 3.0 zu "überreden", wird der Server angreifbar.

Jetzt wird es für die Angreifer noch einfacher

Waren diese Angriffe nur auf Systemen erfolgreich, die mit der nach heutigen Maßstäben sehr unsicheren Version SSL 3 unzureichend abgesichert waren, richten sie sich jetzt an mit dem SSL-Nachfolger TLS verschlüsselte Webseiten, und zwar mit einer TLS-Version vor 1.2.

"Die Auswirkungen dieses Problems sind ähnlich wie bei Poodle, nur dass es für die Angreifer noch etwas einfacher wird", schreibt Ivan Ristic von Qualys in einem Blogpost zum Thema.

Das Google-Sicherheitsteam hatte die Lücke im Oktober entdeckt und davor gewarnt. Einige Browser-Hersteller haben recht schnell reagiert und die Unterstützung des Uralt-Protokolls eingestellt, darunter Chrome 39 und Firefox 34. Der neue Google-Browser Chrome 40 soll das alte SSL gar nicht mehr beachten. Wer den Microsoft Internet Explorer nutzt, kann unter "Internetoptionen" "Erweitert" "Sicherheit" die Option "SSL 3 verwenden" durch Löschen des Häkchens abwählen. Für die neue TLS-Lücke müssen die Browser nun wohl erneut angepasst werden.

abr

Diesen Artikel...
Forum - Diskutieren Sie über diesen Artikel
insgesamt 2 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Ach Hacker
Leser161 09.12.2014
Wer braucht noch Hacker, wenn Regierungen im Kampf gegen den Terrorismus ganz legal Zugang erzwingen können?
2. @Leser161
kilroy-was-here 09.12.2014
Lieber Freund, die NSA liest mit aber Sie buchen Ihnen kein Geld ab. Hacken hat meist den Sinn Geld abzugreifen. Comprende...
Alle Kommentare öffnen
    Seite 1    

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



Zum Autor
  • Andreas Brohme
    Gadgets, Apps, neue Technologien - der Hamburger Andreas Brohme schreibt seit über 20 Jahren über Neues aus Digitalien. In seiner Freizeit spielt er - ganz analog - vor allem Gitarre.

Netzwelt auf Twitter

Über diesen Account erreichen Sie das Ressort und verpassen keinen Artikel.


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.a.

    SPIEGEL E-Book; 2,69 Euro.

  • Bei Amazon kaufen.
SPIEGEL.TV
Der kompakte Nachrichtenüberblick am Morgen: aktuell und meinungsstark. Jeden Morgen (werktags) um 6 Uhr. Bestellen Sie direkt hier: