Microsoft warnt vor gefährlicher SSL-Lücke - so schützen Sie sich

In einem neuem Microsoft Security Advisory (2588513) gibt das Sicherheits-Team von Microsoft bekannt, dass es derzeit die Berichte über eine angebliche Sicherheitslücke in SSL 3.0 und TLS 1.0 untersucht, die Windows-Betriebssysteme betreffen soll. In den Berichten, so Microsoft, werde erläutert, wie die Sicherheitslücke in SSL 3.0 und TLS 1.0 auf Windows-Systemen ausgenutzt werden könne

Microsoft betont, dass die Lücke das Protokoll selbst betreffe und nicht in Windows stecke. Die Lücke erlaube Angreifern, verschlüsselten SSL/TLS-Verkehr zu entschlüsseln. Vorrangig sei allerdings HTTPS-Verkehr betroffen, weil die Lücke auf Browser abziele. Derzeit liegen keine Erkenntnisse darüber vor, dass die Lücke auch andere Protokolle oder Komponenten betrifft. Außerdem hat Microsoft bisher auch keine Berichte darüber erhalten, dass die betreffende Lücke aktiv von Angreifern ausgenutzt wird.

Dem Microsoft Security Advisory 2588513 zufolge, will Microsoft nach Abschluss der Untersuchungen die - laut eigenen Angaben - geeigneten Maßnahmen treffen, um seine Kunden vor der Lücke zu schützen. Dabei könnte entweder ein Update zu einem der nächsten Patch-Days erscheinen oder auch ein Sicherheitsupdate außer der Reihe, um die Kunden schneller zu schützen.

Von der Sicherheitslücke sind laut dem Advisory alle Windows-Betriebssysteme für Client und Server betroffen. Im Abschnitt "Suggested Actions" erläutert Microsoft einige Workarounds, die Windows-Anwender nutzen können, um bis zur Veröffentlichung von Software-Updates vor der Sicherheitslücke sicher zu sein. Windows-7-Nutzer können sich beispielsweise schützen, indem sie im Internet Explorer das Protokoll TLS 1.1 und/oder TLS 1.2 aktivieren. Dazu rufen Sie im Internet Explorer die "Internetoptionen" auf und wechseln dann in den Reiter "Erweitert". Im Abschnitt Sicherheit können Sie nun ein Häkchen bei "TLS 1.1 verwenden" und/oder "TLS 1.2 verwenden" setzen. Anschließend muss der Internet Explorer neu gestartet werden.