SSL-Sicherheitslücke Poodle betrifft bis zu zehn Prozent aller Webseiten

Im Oktober hat Google eine Sicherheitslücke in der Web-Verschlüsselung bekannt gemacht. Eine Studie zeigt jetzt: Sie macht auch jetzt noch einige der größten Webseiten der Welt unsicher.

PayPal-Seite: Auch sie wird von den Sicherheitsexperten genannt
REUTERS

PayPal-Seite: Auch sie wird von den Sicherheitsexperten genannt


Softwareentwickler und Sicherheitsexperten haben entdeckt, dass die ursprünglich von Google entdeckte Poodle-Sicherheitslücke doch schlimmer ist als zunächst angenommen. Laut Messungen des US-Sicherheitsunternehmens Qualys könnten bis zu zehn Prozent aller Webseiten der Welt betroffen sein. Dazu gehören auch große Unternehmen wie die Bank of America, VMWare und PayPal. Ihnen ist gemein, dass Ihre Server auf bestimmte Angriffe reagieren könnten statt die Anfragen abzulehnen.

Die Abkürzung Poodle steht für "Padding Oracle On Downgraded Legacy Encryption", einen Angriff, der sich eine Schwachstelle in der fast 18 Jahre alten SSL-Verschlüsselung zunutze macht. Poodle ermöglicht es Angreifern, über Fehler im Verschlüsselungsprotokoll SSL 3.0 Daten von Servern und Client-Rechnern abzufangen.

Der Angriff setzt auf dem Prinzip auf, dass der Server bei missglückten Verbindungsaufbauten auf eine ältere Verschlüsselungsversion zurückgreift, um überhaupt eine Verbindung zu ermöglichen. Gelingt es dem Angreifer, den Server zu einer Verbindung per SSL 3.0 zu "überreden", wird der Server angreifbar.

Jetzt wird es für die Angreifer noch einfacher

Waren diese Angriffe nur auf Systemen erfolgreich, die mit der nach heutigen Maßstäben sehr unsicheren Version SSL 3 unzureichend abgesichert waren, richten sie sich jetzt an mit dem SSL-Nachfolger TLS verschlüsselte Webseiten, und zwar mit einer TLS-Version vor 1.2.

"Die Auswirkungen dieses Problems sind ähnlich wie bei Poodle, nur dass es für die Angreifer noch etwas einfacher wird", schreibt Ivan Ristic von Qualys in einem Blogpost zum Thema.

Das Google-Sicherheitsteam hatte die Lücke im Oktober entdeckt und davor gewarnt. Einige Browser-Hersteller haben recht schnell reagiert und die Unterstützung des Uralt-Protokolls eingestellt, darunter Chrome 39 und Firefox 34. Der neue Google-Browser Chrome 40 soll das alte SSL gar nicht mehr beachten. Wer den Microsoft Internet Explorer nutzt, kann unter "Internetoptionen" "Erweitert" "Sicherheit" die Option "SSL 3 verwenden" durch Löschen des Häkchens abwählen. Für die neue TLS-Lücke müssen die Browser nun wohl erneut angepasst werden.

abr

Mehr zum Thema


Forum - Diskutieren Sie über diesen Artikel
insgesamt 2 Beiträge
Alle Kommentare öffnen
Seite 1
Leser161 09.12.2014
1. Ach Hacker
Wer braucht noch Hacker, wenn Regierungen im Kampf gegen den Terrorismus ganz legal Zugang erzwingen können?
kilroy-was-here 09.12.2014
2. @Leser161
Lieber Freund, die NSA liest mit aber Sie buchen Ihnen kein Geld ab. Hacken hat meist den Sinn Geld abzugreifen. Comprende...
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2014
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.