Sicherheitsloch im SSL-Protokoll

Fehler bei der Neuaushandlung von TLS-Parametern. In den Protokollen SSL und TLS wurde ein Sicherheitsloch gefunden, das für Man-in-the-Middle-Attacken ausgenutzt werden kann. In verschlüsselte Verbindungen können Angreifer somit eigene Inhalte einschleusen.

5. November 2009 um 14:55 Uhr / Ingo Pakalski

34 Kommentare News folgen (öffnet im neuen Fenster)

Das Sicherheitsleck tritt bei der erneuten Aushandlung der Parameter für eine bestehende TLS-Verbindung auf, berichtet Marsh Ray(öffnet im neuen Fenster) von Phonefactor. Der Fehler wurde bereits Anfang August 2009 gefunden, aber Ray wollte weitere Untersuchungen zu der Sicherheitslücke vornehmen. Die Ergebnisse dieser Arbeit stellt Ray in einem Zip-Archiv(öffnet im neuen Fenster) zur Verfügung.

Das SSL-Protokoll wird bei HTTPS-Verbindungen sowie beim Zugriff auf E-Mail-Postfächer via IMAP oder POP3 verwendet. Ein Angreifer könnte bei einem Angriff per Webbrowser eine HTTPS-Verbindung abfangen und dem Client dann eine vermeintlich vertrauensvolle Quelle vorgaukeln. Damit könnten vertrauliche Daten in fremde Hände gelangen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

SAP-Anwendungsbetreuer*in SAP Finanzwesen Max-Planck-Gesellschaft zur Förderung der Wissenschaften e.V., München (öffnet im neuen Fenster)

(Senior) Backend Developer (m/w/d) ACE Auto Club Europa e.V., Stuttgart (öffnet im neuen Fenster)

Cyber Security Analyst (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)

Informatiker (m/w/d) im Business Continuity Management Evangelische Landeskirche in Württemberg, Stuttgart (öffnet im neuen Fenster)

Software Engineer for AI Forecasting (m/w/d) Schwarz IT, Heilbronn (öffnet im neuen Fenster)

Wirtschaftsinformatiker (m/w/d) als Manager IT Financial Management DG Nexolution eG, Wiesbaden (öffnet im neuen Fenster)

(Senior) Cyber Security Exposures and Vulnerabilities Analyst (m/w/d) Schwarz IT, Neckarsulm (öffnet im neuen Fenster)

Data Management Consultant (m/w/d) Schwarz IT, Heilbronn (öffnet im neuen Fenster)

Für OpenSSL hat Ben Laurie(öffnet im neuen Fenster) bereits einen Patch veröffentlicht, der allerdings den Fehler nicht direkt beseitigt. Stattdessen wird die Neuaushandlung der TLS-Parameter verhindert.

Zur Startseite 34 Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Service Pack 1 für Internet Explorer 6 macht Patch unwirksam

Nur Windows 2000 mit Service Pack 4 von dem Problem betroffen. Wie Microsoft mitteilt, wurde ein aus dem September 2002 stammendes Security Bulletin überarbeitet, weil der darin enthaltene Patch unter bestimmten Umständen vom Service Pack 1 für den Internet Explorer 6.0 außer Kraft gesetzt wird. Der Patch behebt eine Sicherheitslücke beim Prüfen von SSL-Zertifikaten in mehreren Windows-Systemen sowie in MacOS-Software aus Redmond.

Relevante Themen