Abo
  • Services:
Anzeige
Poodle wurde die jetzt entdeckte SSL-Sicherheitslücke getauft.
Poodle wurde die jetzt entdeckte SSL-Sicherheitslücke getauft. (Bild: Luly/Wikimedia Commons/CC by 2.0)

SSLv3: Kaspersky-Software hebelt Schutz vor Poodle-Lücke aus

Poodle wurde die jetzt entdeckte SSL-Sicherheitslücke getauft.
Poodle wurde die jetzt entdeckte SSL-Sicherheitslücke getauft. (Bild: Luly/Wikimedia Commons/CC by 2.0)

Das Paket Kaspersky Internet Security kann auch bei Browsern, die unsichere Verbindungen per SSLv3 nicht unterstützen, das veraltete Protokoll dennoch aktivieren. Patchen will das der Hersteller erst 2015, es gibt aber schon jetzt eine einfache Lösung.

Anzeige

Selbst wenn ein Browser wie der aktuelle Firefox 34 und die nächste Version 40 von Chrome SSLv3 nicht mehr nutzt, kann darüber dennoch eine Verbindung hergestellt werden. Dies berichtet Heise Online, nachdem ein Leser die Redaktion darauf aufmerksam gemacht hatte. Die Kollegen konnten das Problem nachstellen, es liegt daran, wie Kaspersky Internet Security funktioniert.

Das Programm arbeitete wie ein Man-in-the-middle: Ist die Funktion "Sichere Verbindungen untersuchen" in der Kaspersky-Software eingeschaltet, so kommuniziert der Browser nicht mehr direkt mit einem Server, sondern mit dem vermeintlichen Schutzprogramm. Dieses stellt selbst dann eine SSLv3-Verbindung her, auch wenn dieses Protokoll im Browser ausgeschaltet ist.

Das ist problematisch, weil die Verbindung dann über die Poodle-Lücke angreifbar ist. Eine vermeintlich verschlüsselte SSL-Verbindung ist durch Poodle angreifbar, deshalb entfernen die Browserhersteller derzeit auch das veraltete SSLv3 aus ihren Programmen. Die Kaspersky-Software fügt diese Funktion nun unnötigerweise wieder hinzu.

Der russische Antivirenhersteller bestätigte Heise Online das Problem und will sein Produkt patchen - aber erst im ersten Quartal 2015. Im Supportforum von Kaspersky heißt es sogar, ein Rechner sei nur durch Poodle angreifbar, wenn er ohnehin schon kompromittiert sei. Und eine Man-in-the-Middle-Attacke würde das Kaspersky-Programm sowieso abfangen - ein schwaches Sicherheitsversprechen.

Wer Kaspersky Internet Security also bis zu einem Patch weiterhin einsetzen will, sollte die Option "Sichere Verbindungen untersuchen" vorerst abschalten und seinem Browser SSLv3-Verbindungen verbieten.


eye home zur Startseite
xmaniac 09. Dez 2014

Wann war das, in den 90ern oder 00er Jahre? Nenn doch mal einen halbwegs aktuellen...



Anzeige

Stellenmarkt
  1. 20-20 Technologies GmbH, Osnabrück
  2. CIBER AG, Heidelberg
  3. Vaillant GmbH, Remscheid
  4. ALPMA Alpenland Maschinenbau GmbH, Rott am Inn


Anzeige
Top-Angebote
  1. Um den 15-Prozent-Gutschein in Anspruch nehmen zu können, kaufen die Nutzer einfach ihren...
  2. (u. a. Jurassic World, Creed, Die Unfassbaren, Kingsman, John Wick, Interstellar, Mad Max)
  3. 99,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Regierung

    Wie die Telekom bei Merkel ihre Interessen durchsetzt

  2. Embedded Radeon E9550

    AMD packt Polaris in 4K-Spieleautomaten

  3. Pay-TV

    Ultra-HD-Programm von Sky startet im Oktober

  4. Project Catapult

    Microsoft setzt massiv auf FPGAs

  5. Kabel

    Vodafone deckt mit 400 MBit/s fünf Millionen Haushalte ab

  6. Session Recovery

    Firefox und Chrome schreiben sehr viele Daten

  7. Windows 10 Enterprise

    Edge-Browser soll bald in virtueller Umgebung laufen

  8. Valve

    Oberfläche von Steam wird überarbeitet

  9. Tintenstrahldrucker

    Anbieter umgehen HPs Patronensperre

  10. UTM

    Nokia lässt Drohnen am Flughafen steigen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Oliver Stones Film Snowden: Schneewittchen und die nationale Sicherheit
Oliver Stones Film Snowden
Schneewittchen und die nationale Sicherheit
  1. US-Experten im Bundestag Gegen Überwachung helfen keine Gesetze
  2. Neues BND-Gesetz Eco warnt vor unkontrolliertem Zugriff auf deutschen Traffic
  3. Datenschützerin Voßhoff Geheimbericht wirft BND schwere Gesetzesverstöße vor

Fitbit Charge 2 im Test: Fitness mit Herzschlag und Klopfgehäuse
Fitbit Charge 2 im Test
Fitness mit Herzschlag und Klopfgehäuse
  1. Fitbit Ausatmen mit dem Charge 2
  2. Polar M600 Sechs LEDs für eine Pulsmessung
  3. Fitnessportale Die Spielifizierung des Sports

Forza Horizon 3 im Test: Autoparadies Australien
Forza Horizon 3 im Test
Autoparadies Australien
  1. Die Woche im Video Schneewittchen und das iPhone 7
  2. Forza Motorsport 6 PC-Rennspiel Apex fährt aus der Beta
  3. Microsoft Play Anywhere gilt für alle Spiele der Microsoft Studios

  1. Re: OT: Suche Rasp DLNA Player/Client Distri

    SoniX | 15:42

  2. Re: Lösung für Firefox

    Cassiopeia | 15:42

  3. Re: Der unnötige Aufpasser

    AllDayPiano | 15:42

  4. Re: Upload vs Download - Vectoring hat hier die...

    michid | 15:41

  5. rgb high-low?

    flippo00 | 15:38


  1. 15:35

  2. 15:00

  3. 14:18

  4. 13:54

  5. 13:24

  6. 13:15

  7. 13:00

  8. 12:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel