2006452

Vorsicht

Poodle: Schlimme SSL-Lücke entdeckt - so schützen Sie sich!

15.10.2014 | 14:33 Uhr |

Sicherheitsexperten von Google haben eine neue Lücke in SSL 3.0 entdeckt. So können Sie sich schützen.

Googles Sicherheitsexperten haben in dem älteren aber weiterhin noch häufig genutzten SSL-Protokoll 3.0 eine schwerwiegende Sicherheitslücke entdeckt. Darauf weist Google in einem Eintrag in seinem Sicherheitsblog hin. "Dieser Pudel beißt", heißt es dort. Dem gefundenen Sicherheitsschwäche wurde nämlich der Name "Poodle" (deutsch: Pudel) gegeben, wobei sich der Name aus der Funktionsweise der Anfälligkeit ergibt : Padding Oracle On Downgraded Legacy Encryption. Die letzte große SSL-Lücke sorgte unter dem Namen "Heartbleed" für Schlagzeilen, weshalb jetzt von "Poodlebleed" die Rede ist.

Die neu entdeckte Lücke erlaubt es laut Google Angreifern, den Klartext aus einer eigentlich sicheren SSL-Verschlüsselung zu errechnen.

SSL 3.0 ist über 15 Jahre alt, wird aber weiterhin oft verwendet. Alle wichtigen Browser unterstützen SSL 3.0, um bei einem Fehler beim Zugriff auf einen HTTPS-Server über die Nutzung von SSL 3.0 sich doch noch Zugriff zu verschaffen. Genau dies könnten auch Angreifer für ihre Zwecke ausnutzen, befürchten die Sicherheitsexperten von Google. Die Angreifer eines Netzwerks könnten einen Verbindungsfehler auslösen, um dann über SSL 3.0 auf den Server zu gelangen und dann die Lücke auszunutzen.

Schnell-Check: Ein Klick und Sie wissen, ob Sie in Gefahr sind

Durch den Aufruf dieser Website können Sie schnell und einfach feststellen, ob Ihr Browser anfällig für die SSL-Lücke ist. Erscheint oben eine rote Warnbox, mit dem Hinweis: "Warning! If you see this box, your browser supports SSLv3!", dann sollten Sie SSL 3.0 deaktivieren. Und im nächsten Abschnitt erklären wir Ihnen, wie das geht.

Firefox, Chrome und IE: So schützen Sie sich

Die Empfehlung lautet daher, die Unterstützung von SSL 3.0 im verwendeten Browser zu deaktivieren. Das ist allerdings je nach Browser mehr oder weniger umständlich möglich. 

Anti-Poodle-Einstellung bei Chrome
Vergrößern Anti-Poodle-Einstellung bei Chrome
© https://zmap.io/sslv3/

Für Chrome muss beispielsweise eine Verknüpfung zum Aufruf von Chrome auf den Desktop abgelegt werden. Dieser muss dann unter Eigenschaften bei Ziel nach dem abschließenden Ausrufezeichen bei "chrome.exe" noch

--ssl-version-min=tls1

hinzugefügt werden. Außerdem muss der Anwender daran denken, künftig Chrome nur noch über die angelegte Verknüpfung aufzurufen. In naher Zukunft will Google die Unterstützung von SSL 3.0 aus allen seinen Client-Produkten entfernen.

Das kündigen auch die Entwickler von Mozilla für Firefox in einem Blog-Eintrag an. Ab Firefox 34 soll dies geschehen. Firefox 34 wird Ende November erscheinen. In allen Vorabversionen von Firefox 34 ist die Unterstützung für SSL 3.0 ab sofort abgeschaltet. Firefox-Nutzern die nicht bis Ende November warten möchten, bietet Mozilla mit SSL Version Control ein Firefox-Addon zum Download an, über das die Unterstützung für SSL 3.0 im Browser manuell abgeschaltet werden kann.

SSL 3.0 im Internet Explorer deaktivieren
Vergrößern SSL 3.0 im Internet Explorer deaktivieren

Auch Microsoft dürfte die Unterstützung von SSL 3.0 aus dem Internet Explorer bald entfernen. Bis dahin können Sie auch im IE die Unterstützung von SSL 3.0 manuell deaktivieren. Rufen Sie dazu die "Internetoptionen" des Browsers auf und wechseln Sie dann in den Reiter "Erweitert". Hier entfernen Sie dann das Häkchen bei "SSL 3.0 verwenden" unter Sicherheit.

Eine ausführlichere Anleitung für alle Browser und gängigen Systeme finden Sie auf dieser Seite.

0 Kommentare zu diesem Artikel
2006452