1122401

Microsoft warnt vor gefährlicher SSL-Lücke - so schützen Sie sich

27.09.2011 | 09:44 Uhr |

Microsoft untersucht derzeit Berichte über eine gefährliche Sicherheitslücke in SSL und TLS, die Windows-Systeme betreffen soll.

In einem neuem Microsoft Security Advisory (2588513) gibt das Sicherheits-Team von Microsoft bekannt, dass es derzeit die Berichte über eine angebliche Sicherheitslücke in SSL 3.0 und TLS 1.0 untersucht, die Windows-Betriebssysteme betreffen soll. In den Berichten, so Microsoft, werde erläutert, wie die Sicherheitslücke in SSL 3.0 und TLS 1.0 auf Windows-Systemen ausgenutzt werden könne

Microsoft betont, dass die Lücke das Protokoll selbst betreffe und nicht in Windows stecke. Die Lücke erlaube Angreifern, verschlüsselten SSL/TLS-Verkehr zu entschlüsseln. Vorrangig sei allerdings HTTPS-Verkehr betroffen, weil die Lücke auf Browser abziele. Derzeit liegen keine Erkenntnisse darüber vor, dass die Lücke auch andere Protokolle oder Komponenten betrifft. Außerdem hat Microsoft bisher auch keine Berichte darüber erhalten, dass die betreffende Lücke aktiv von Angreifern ausgenutzt wird.

Dem Microsoft Security Advisory 2588513 zufolge, will Microsoft nach Abschluss der Untersuchungen die - laut eigenen Angaben - geeigneten Maßnahmen treffen, um seine Kunden vor der Lücke zu schützen. Dabei könnte entweder ein Update zu einem der nächsten Patch-Days erscheinen oder auch ein Sicherheitsupdate außer der Reihe, um die Kunden schneller zu schützen.

Dar die Lücke im Design der Protokolle SSL 3.0 und TLS 1.0 steckt, müssen alle Hersteller, deren Produkte diese Protokolle nutzen, entsprechende Maßnahmen ergreifen, um ihre Kunden zu schützen. Somit sind auch alle Browser-Hersteller betroffen.

Von der Sicherheitslücke sind laut dem Advisory alle Windows-Betriebssysteme für Client und Server betroffen. Im Abschnitt "Suggested Actions" erläutert Microsoft einige Workarounds, die Windows-Anwender nutzen können, um bis zur Veröffentlichung von Software-Updates vor der Sicherheitslücke sicher zu sein. Windows-7-Nutzer können sich beispielsweise schützen, indem sie im Internet Explorer das Protokoll TLS 1.1 und/oder TLS 1.2 aktivieren. Dazu rufen Sie im Internet Explorer die "Internetoptionen" auf und wechseln dann in den Reiter "Erweitert". Im Abschnitt Sicherheit können Sie nun ein Häkchen bei "TLS 1.1 verwenden" und/oder "TLS 1.2 verwenden" setzen. Anschließend muss der Internet Explorer neu gestartet werden.

0 Kommentare zu diesem Artikel
1122401