Google hat eine schwere Sicherheitslücke im Verschlüsselungsprotokoll SSL 3.0 entdeckt.

SSL 3.0 als Verschlüsselung ist anfällig für Angriffe, insbesondere beim Online-Banking kann das zu Problemen führen. Diese Verschlüsselungstechnik ist 15 Jahren alt und wurde seinerzeit von Netscape entwickelt. Da SSL 3.0 noch immer in gängigen Browsern genutzt wird, ist es ratsam die Browser-Einstellungen zu ändern.

Wie Google am Dienstag im Google Sicherheitsblog berichtet, ermöglicht es die Schwachstelle Angreifern, geschützte Kommunikationsinhalte, die über HTTPS-Verbindungen versandt werden, im Klartext mitzulesen. Die Entdecker nennen die Lücke Poodle, weil dies die Abkürzung für Padding Oracle On Downgraded Legacy Encryption darstellt.

Durch die Schwachstelle können beispielweise Cookies einer aktuellen Verbindung abgegriffen werden, welche dann für das Einloggen in geschützte Profile genutzt werden können. Möglich wird dies den Angreifern durch eine Störung der Internetverbindung. Bei einer solchen Störung, springen Browser auf ältere Protokolle wie SSL 3.0zurück, und sind so anfällig für Attacken. Google plant für seinen Browser Chrome diese Fallback genannte Option zu deaktivieren.

This POODLE bites: exploiting the SSL 3.0 fallback

Auch Mozilla reagierte bereits und kündigte an SSL 3.0 in den Ruhestand zu schicken. Bereits mit dem nächsten Release soll SSL 3.0 deaktiviert sein.

The POODLE Attack and the End of SSL 3.0

Eine Anleitung zur manuellen Abänderung ist hier zu finden.

POODLE Attack and SSLv3 Support Measurement

Deine Meinung zählt. Wie denkst du darüber?