Die im Oktober entdeckte Lücke im Sicherheitsprotokoll SSL 3.0 namens Poodle betrifft auch den Nachfolger Transport Layer Security (TLS). Das haben Sicherheitsforscher nun festgestellt. Nutzt TLS eine Decodierungsfunktion von SSL 3.0 können dem Entwickler Adam Langley zufolge Poodle-Angriffe durchgeführt werden.
Es soll sich um eine Variante der “Padding Oracle on Downgraded Legacy Encryption” (Poodle) genannten Schwachstelle. Wie Ivan Ristic, Director of Application Security Research beim Sicherheitsunternehmen Qualys mitteilt, ist sie auch in der aktuellen TLS-Version 1.2 zu finden.
“Die Auswirkungen dieses Problems sind ähnlich wie bei Poodle”, schreibt er in einem Blog. Da ein Downgrade des Clients auf SSL 3.0 nicht mehr nötig sei, könne ein Angriff allerdings einfacher ausgeführt werden.
Kriminelle können ähnliche wie bei Poodle mit Angriffen auf TLS 1.x HTTP-Cookies erbeuten. Somit sind sie in der Lage, die Identität eines Nutzers zu übernehmen. Durch das Einfügen von JavaScript-Code in eine beliebige HTTP-Verbindung, gelangt ein Angreifer an ein Cookie. Die manipulierte Verbindung ermöglicht Man-in-the-Middle-Attacken.
“Das wichtigste Ziel sind Browser, da ein Angreifer schädliches JavaScript einfügen muss, um einen Angriff auszulösen”, heißt es weiter im Qualys-Blog. “Ein erfolgreicher Angriff benötigt rund 256 Anfragen um ein Cookie-Zeichen zu enthüllen, oder nur 4096 Anfragen für ein 16-Zeichen-Cookie. Das macht die Attacke recht praktikabel.”
Langley hat nach eigenen Angaben schon im Oktober betroffene Websites entdeckt. Sie nutzen ihm zufolge Load-Balancing-Produkte von F5 Networks oder A10 Networks für TLS-Verbindungen. Beide Hersteller hätten inzwischen Patches für ihre Produkte veröffentlicht. Trotzdem sind Ristic zufolge noch etwa zehn Prozent aller Websites anfällig für die neuen Poodle-Angriffe auf TLS.
Ursprünglich gingen die Forscher davon aus, dass nur SSL 3.0 betroffen ist. TLS 1.0 (entspricht SSL 3.1), 1.1 und 1.2 haben es mittlerweile abgelöst. Trotz des Alters des SSL-3.0-Protokolls waren viele Server von der Schwachstelle betroffen, da sie aus Kompatibilitätsgründen immer noch SSL 3.0 unterstützten. Browser-Hersteller wie Google und Mozilla haben den Support für SSL 3.0 inzwischen vollständig eingestellt.
Qualys hat den eigenen SSL-Test aktualisiert. Website-Betreiber, die prüfen wollen, ob ihre Server anfällig sind, können den Qualys SSL Labs Server Test kostenlos nutzen. Für Clients steht ebenfalls ein Test zur Verfügung.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Wo es früher auf Buchhalter, Schreiber und Boten ankam, geht es heute vor allem um…
Mit KI-Technologien lässt sich das Einkaufserlebnis personalisieren und der Service optimieren, sagt Gastautor Gabriel Frasconi…
Ein Großteil der weltweiten KI-Gelder fließt in den Finanzsektor. 2023 wurden in der Branche 87…
Die Übernahme des US-amerikanischen Anbieters Altair Engineering soll die Position im Markt für Computational Science…
Ein deutsch-französisches Projekt hat hybride Operationssäle entwickelt, die durch 5G-Netz und KI neue Anwendungen ermöglichen.
Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…