Anzeige
Poodle wurde die jetzt entdeckte SSL-Sicherheitslücke getauft.
Poodle wurde die jetzt entdeckte SSL-Sicherheitslücke getauft. (Bild: Luly/Wikimedia Commons/CC by 2.0)

SSLv3: Kaspersky-Software hebelt Schutz vor Poodle-Lücke aus

Poodle wurde die jetzt entdeckte SSL-Sicherheitslücke getauft.
Poodle wurde die jetzt entdeckte SSL-Sicherheitslücke getauft. (Bild: Luly/Wikimedia Commons/CC by 2.0)

Das Paket Kaspersky Internet Security kann auch bei Browsern, die unsichere Verbindungen per SSLv3 nicht unterstützen, das veraltete Protokoll dennoch aktivieren. Patchen will das der Hersteller erst 2015, es gibt aber schon jetzt eine einfache Lösung.

Anzeige

Selbst wenn ein Browser wie der aktuelle Firefox 34 und die nächste Version 40 von Chrome SSLv3 nicht mehr nutzt, kann darüber dennoch eine Verbindung hergestellt werden. Dies berichtet Heise Online, nachdem ein Leser die Redaktion darauf aufmerksam gemacht hatte. Die Kollegen konnten das Problem nachstellen, es liegt daran, wie Kaspersky Internet Security funktioniert.

Das Programm arbeitete wie ein Man-in-the-middle: Ist die Funktion "Sichere Verbindungen untersuchen" in der Kaspersky-Software eingeschaltet, so kommuniziert der Browser nicht mehr direkt mit einem Server, sondern mit dem vermeintlichen Schutzprogramm. Dieses stellt selbst dann eine SSLv3-Verbindung her, auch wenn dieses Protokoll im Browser ausgeschaltet ist.

Das ist problematisch, weil die Verbindung dann über die Poodle-Lücke angreifbar ist. Eine vermeintlich verschlüsselte SSL-Verbindung ist durch Poodle angreifbar, deshalb entfernen die Browserhersteller derzeit auch das veraltete SSLv3 aus ihren Programmen. Die Kaspersky-Software fügt diese Funktion nun unnötigerweise wieder hinzu.

Der russische Antivirenhersteller bestätigte Heise Online das Problem und will sein Produkt patchen - aber erst im ersten Quartal 2015. Im Supportforum von Kaspersky heißt es sogar, ein Rechner sei nur durch Poodle angreifbar, wenn er ohnehin schon kompromittiert sei. Und eine Man-in-the-Middle-Attacke würde das Kaspersky-Programm sowieso abfangen - ein schwaches Sicherheitsversprechen.

Wer Kaspersky Internet Security also bis zu einem Patch weiterhin einsetzen will, sollte die Option "Sichere Verbindungen untersuchen" vorerst abschalten und seinem Browser SSLv3-Verbindungen verbieten.


eye home zur Startseite
xmaniac 09. Dez 2014

Wann war das, in den 90ern oder 00er Jahre? Nenn doch mal einen halbwegs aktuellen...



Anzeige

Stellenmarkt
  1. Landeshauptstadt München, München
  2. Deutsche Telekom AG, Bonn
  3. Detecon International GmbH, Köln, Frankfurt am Main
  4. CVD-Mediengruppe, Chemnitz


Anzeige
Blu-ray-Angebote
  1. 27,99€
  2. 13,97€

Folgen Sie uns
       


  1. Kabelnetz

    Großflächige Störung bei Vodafone

  2. Google

    Nächste Android-Version heißt Nougat

  3. Pleurobot

    Bewegungen verstehen mit einem Robo-Salamander

  4. Überwachung

    Google sammelt Telefonprotokolle von Android-Geräten

  5. Fritzbox

    AVM veröffentlicht FAQ zur Routerfreiheit

  6. Wertschöpfungslücke

    Musiker beschweren sich bei EU-Kommission über Youtube

  7. Vodafone und Ericsson

    Prototyp eines 5G-Netzes in Deutschland

  8. Slim

    Hinweise auf schlanke Playstation 4

  9. Wasserwaagen-App

    Android-Trojaner im Play Store installiert ungewollt Apps

  10. Datenrate

    Telekom und M-Net gewinnen Connect-Festnetztest



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Telefonabzocke: Dirty Harry erklärt mein Windows für kaputt
Telefonabzocke
Dirty Harry erklärt mein Windows für kaputt
  1. Security Ransomware-Bosse verdienen 90.000 US-Dollar pro Jahr
  2. Security-Studie Mit Schokolade zum Passwort
  3. Festnahme und Razzien Koordinierte Aktion gegen Cybercrime

Oneplus Three im Test: Ein Alptraum für die Android-Konkurrenz
Oneplus Three im Test
Ein Alptraum für die Android-Konkurrenz
  1. Android-Smartphone Diskussionen um Speichermanagement beim Oneplus Three
  2. Smartphones Oneplus soll keine günstigeren Modellreihen mehr planen
  3. Ohne Einladung Oneplus Three kommt mit 6 GByte RAM für 400 Euro

Mobbing auf Wikipedia: Content-Vandalismus, Drohungen und Beschimpfung
Mobbing auf Wikipedia
Content-Vandalismus, Drohungen und Beschimpfung
  1. Freies Wissen Katherine Maher wird dauerhafte Wikimedia-Chefin

  1. Re: Hotline? Ein Ansagetext könnte schon vielen...

    motzerator | 04:19

  2. Re: Spaß mit Logitech

    LinuxMcBook | 04:16

  3. Re: Namenswahl für Android O

    LinuxMcBook | 03:33

  4. Re: Echt wichtige Nachricht...

    xMarwyc | 02:44

  5. Re: An alle die wegen PCI nun verunsichert sind

    xMarwyc | 02:42


  1. 22:47

  2. 19:06

  3. 18:38

  4. 17:19

  5. 16:19

  6. 16:04

  7. 15:58

  8. 15:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel