Sicherheitsloch im SSL-Protokoll

Fehler bei der Neuaushandlung von TLS-Parametern

In den Protokollen SSL und TLS wurde ein Sicherheitsloch gefunden, das für Man-in-the-Middle-Attacken ausgenutzt werden kann. In verschlüsselte Verbindungen können Angreifer somit eigene Inhalte einschleusen.

Anzeige

Das Sicherheitsleck tritt bei der erneuten Aushandlung der Parameter für eine bestehende TLS-Verbindung auf, berichtet Marsh Ray von Phonefactor. Der Fehler wurde bereits Anfang August 2009 gefunden, aber Ray wollte weitere Untersuchungen zu der Sicherheitslücke vornehmen. Die Ergebnisse dieser Arbeit stellt Ray in einem Zip-Archiv zur Verfügung.

Das SSL-Protokoll wird bei HTTPS-Verbindungen sowie beim Zugriff auf E-Mail-Postfächer via IMAP oder POP3 verwendet. Ein Angreifer könnte bei einem Angriff per Webbrowser eine HTTPS-Verbindung abfangen und dem Client dann eine vermeintlich vertrauensvolle Quelle vorgaukeln. Damit könnten vertrauliche Daten in fremde Hände gelangen.

Für OpenSSL hat Ben Laurie bereits einen Patch veröffentlicht, der allerdings den Fehler nicht direkt beseitigt. Stattdessen wird die Neuaushandlung der TLS-Parameter verhindert.


IhrName9999 06. Nov 2009

Ich hab den Text (gottseidank) nicht gelesen - und diese Worte bestätigen meine Vermutung.

e-user 06. Nov 2009

Schoen, dass wir das jetzt geklaert haben. Si tacuisses, philosophus mansisses.

fast richtig 06. Nov 2009

Dann ist dein Wissenstand daneben. Der Witz an der Schlüsselaushandlung (bspw. nach...

test55555585 05. Nov 2009

Neuaushandlung der TLS-Parameter verhindert. dieses ist aber ab und zu, je nach anwender...

Kommentieren



Anzeige

  1. SAP-Trainee-Programm
    Erhardt + Leimer GmbH, Stadtbergen
  2. Backend-Entwickler (m/w)
    mzentrale GmbH & Co. KG, Stuttgart
  3. Software Ingenieur (m/w) für mobile Systeme
    Stadtwerke München GmbH, München
  4. Business Intelligence Developer (m/w)
    FTI Touristik GmbH, München

 

Detailsuche


Folgen Sie uns
       


  1. Leicht zu reparieren

    iFixit zerlegt das iPhone 6 Plus und ist angetan

  2. Bleep und Ricochet

    Chatten ohne Metadaten

  3. Potenzielles Sicherheitsproblem

    iOS-8-Tastaturen wollen mithören

  4. Concur

    SAP zahlt 6,5 Milliarden Euro für Zukauf

  5. Speicherdienst

    Apple bringt iCloud Drive für Windows

  6. Lytro

    Lichtfeldfotografie bildet die Tiefe der Welt ab

  7. Nvidia-Grafikkarten

    Energieeffiziente GTX 980 und 970 mit Auto-Downsampling

  8. Oracle

    Larry Ellison tritt als CEO zurück

  9. Mitbewohner geärgert

    Böser Streich mit Facebook-Werbung

  10. Square Enix

    Final Fantasy 13 erscheint für PC



Haben wir etwas übersehen?

E-Mail an news@golem.de



Netflix-Start in Deutschland: Der Kampf um den Video-on-Demand-Markt
Netflix-Start in Deutschland
Der Kampf um den Video-on-Demand-Markt

Test Bernd das Brot: "Dieses Spiel ist Mist"
Test Bernd das Brot
"Dieses Spiel ist Mist"
  1. The Devil's Men Lebensgefahr im Steampunk-Adventure
  2. Life is Strange Zeitmanipulation als Abenteuer
  3. Test Valiant Hearts Tapfere Herzen im Ersten Weltkrieg

DDR-Hackerfilm Zwei schräge Vögel: Mit Erotik und Kybernetik ins perfekte Chaos
DDR-Hackerfilm Zwei schräge Vögel
Mit Erotik und Kybernetik ins perfekte Chaos
  1. Miraisens Virtuelle Objekte werden ertastbar
  2. Autodesk Pteromys konstruiert Papiergleiter am Computer

    •  / 
    Zum Artikel