Sicherheitsloch im SSL-Protokoll

Fehler bei der Neuaushandlung von TLS-Parametern

In den Protokollen SSL und TLS wurde ein Sicherheitsloch gefunden, das für Man-in-the-Middle-Attacken ausgenutzt werden kann. In verschlüsselte Verbindungen können Angreifer somit eigene Inhalte einschleusen.

Anzeige

Das Sicherheitsleck tritt bei der erneuten Aushandlung der Parameter für eine bestehende TLS-Verbindung auf, berichtet Marsh Ray von Phonefactor. Der Fehler wurde bereits Anfang August 2009 gefunden, aber Ray wollte weitere Untersuchungen zu der Sicherheitslücke vornehmen. Die Ergebnisse dieser Arbeit stellt Ray in einem Zip-Archiv zur Verfügung.

Das SSL-Protokoll wird bei HTTPS-Verbindungen sowie beim Zugriff auf E-Mail-Postfächer via IMAP oder POP3 verwendet. Ein Angreifer könnte bei einem Angriff per Webbrowser eine HTTPS-Verbindung abfangen und dem Client dann eine vermeintlich vertrauensvolle Quelle vorgaukeln. Damit könnten vertrauliche Daten in fremde Hände gelangen.

Für OpenSSL hat Ben Laurie bereits einen Patch veröffentlicht, der allerdings den Fehler nicht direkt beseitigt. Stattdessen wird die Neuaushandlung der TLS-Parameter verhindert.

Kommentarübersicht
Re: Secure Design...
IhrName9999 06. Nov 2009

Ich hab den Text (gottseidank) nicht gelesen - und diese Worte bestätigen meine Vermutung.

Re: Patch unnötig
e-user 06. Nov 2009

Schoen, dass wir das jetzt geklaert haben. Si tacuisses, philosophus mansisses.

Re: mitm as usual
fast richtig 06. Nov 2009

Dann ist dein Wissenstand daneben. Der Witz an der Schlüsselaushandlung (bspw. nach...

ssl
test55555585 05. Nov 2009

Neuaushandlung der TLS-Parameter verhindert. dieses ist aber ab und zu, je nach anwender...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Softwareentwickler / Softwareentwicklerin
    BBF GmbH, München und Dresden
  2. Prüfer/-in für die IT-Revision
    Kreissparkasse Tübingen, Tübingen
  3. Solution Architect (m/w)
    Loyalty Partner Solutions GmbH, Frankfurt
  4. Projektmanager für Webapplikationen (m/w)
    Information Factory Deutschland GmbH, Nürnberg

 

Detailsuche

Folgen Sie uns
       
Videos
Batman Arkham Origins - Trailer (Cinematic) Batman Arkham Origins - Trailer (Cinematic)
Ticker
  1. Yahoo

    Flickr mit kostenlosem 1 TByte für Fotos

  2. Sailfish-Smartphone

    Jolla stellt "The Other Half" vor

  3. Internet und Krieg

    Wenn Social Networks zum Schützengraben werden

  4. Instant Messenger

    Whatsapp in Deutschland immer beliebter

  5. Milliarden-Deal

    Yahoo kauft Blogging-Plattform Tumblr

  6. Electronic Arts

    Leitender EA-Entwickler bezeichnet Wii U als "Mist"

  7. Apple-Zulieferer

    Wieder drei Suizide bei Foxconn

  8. Cast AR

    Gefeuerte Valve-Entwickler zeigen Räumliche-Objekte-Brille

  9. Ventus

    Mit der Netzgemeinde gegen den Klimawandel

  10. Offline-Karten-App für Android

    Maps With Me Pro gratis in Amazons App-Shop

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Open Source
Clark Asay: Defensive Patente mit freier Software nicht vereinbar?
Clark Asay
Defensive Patente mit freier Software nicht vereinbar?

Der Juraprofessor Clark Asay glaubt, dass das Entwicklungsmodell freier Software nur schwer mit dem Patentrecht vereinbar sei. Der Aufbau defensiver Patente werde dadurch sehr erschwert.

  1. Adobes CFF Engine Bessere Schriftdarstellung für Android, iOS und Linux
  2. Entwicklerplatinen Spark Core mit WLAN und Cortex-M3-Prozessor
  3. Matthew Garrett "Secure Boot ist nicht gleich Restricted Boot"
Golem.de
In eigener Sache: Bitte schalte deinen Adblocker aus!
In eigener Sache
Bitte schalte deinen Adblocker aus!

Viele Nutzer betrachten Adblocker als legitime Notwehr gegen die aggressive Werbung im Netz. Für Websites wie Golem.de ist das ein großes Problem. Am Ende verlieren alle. Suche nach Auswegen aus dem Dilemma.

  1. In eigener Sache Golem.de und das Leistungsschutzrecht
KI
Quantum Artificial Intelligence Lab: Google quantencomputert mit der Nasa
Quantum Artificial Intelligence Lab
Google quantencomputert mit der Nasa

Google und die Nasa haben gemeinsam eine Forschungseinrichtung für künstliche Intelligenz gegründet. Mit Hilfe eines Quantencomputers wollen sie unter anderem bessere Vorhersagemodelle entwickeln.

  1. DNNresearch Google-Suche engagiert Wissenschaftler für neuronale Netze
Forumsbeiträge »
  1. Sailfish-Smartphone Jolla stellt "The Other Half" vor

    Re: Keine 8-Kerne, kein Full-HD, kein Qi-Laden...

    Fatal3ty | 07:28

  2. Electronic Arts Leitender EA-Entwickler bezeichnet Wii U als "Mist"

    Und?

    fratze123 | 07:27

  3. Yahoo Flickr mit kostenlosem 1 TByte für Fotos

    Re: 499,99$?

    schubaduu | 07:24

  4. Electronic Arts Leitender EA-Entwickler bezeichnet Wii U als "Mist"

    Re: "...wie Sega machen..." ?!

    Garius | 07:23

  5. Cast AR Gefeuerte Valve-Entwickler zeigen Räumliche-Objekte-Brille

    "Selbst wenn es berufllich zur Notwendigkeit wird,"

    fratze123 | 07:22

Ticker »
  1. Yahoo Flickr mit kostenlosem 1 TByte für Fotos

    06:10

  2. Sailfish-Smartphone Jolla stellt "The Other Half" vor

    14:35

  3. Internet und Krieg Wenn Social Networks zum Schützengraben werden

    14:25

  4. Instant Messenger Whatsapp in Deutschland immer beliebter

    13:25

  5. Milliarden-Deal Yahoo kauft Blogging-Plattform Tumblr

    11:48

  6. Electronic Arts Leitender EA-Entwickler bezeichnet Wii U als "Mist"

    14:15

  7. Apple-Zulieferer Wieder drei Suizide bei Foxconn

    13:48

  8. Cast AR Gefeuerte Valve-Entwickler zeigen Räumliche-Objekte-Brille

    12:33

Zum Artikel