Abo
  • Services:

SSLv3: Kaspersky-Software hebelt Schutz vor Poodle-Lücke aus

Das Paket Kaspersky Internet Security kann auch bei Browsern, die unsichere Verbindungen per SSLv3 nicht unterstützen, das veraltete Protokoll dennoch aktivieren. Patchen will das der Hersteller erst 2015, es gibt aber schon jetzt eine einfache Lösung.

Artikel veröffentlicht am ,
Poodle wurde die jetzt entdeckte SSL-Sicherheitslücke getauft.
Poodle wurde die jetzt entdeckte SSL-Sicherheitslücke getauft. (Bild: Luly/Wikimedia Commons/CC by 2.0)

Selbst wenn ein Browser wie der aktuelle Firefox 34 und die nächste Version 40 von Chrome SSLv3 nicht mehr nutzt, kann darüber dennoch eine Verbindung hergestellt werden. Dies berichtet Heise Online, nachdem ein Leser die Redaktion darauf aufmerksam gemacht hatte. Die Kollegen konnten das Problem nachstellen, es liegt daran, wie Kaspersky Internet Security funktioniert.

Stellenmarkt
  1. Tupperware Deutschland GmbH, Frankfurt am Main
  2. KfW Bankengruppe, Frankfurt am Main

Das Programm arbeitete wie ein Man-in-the-middle: Ist die Funktion "Sichere Verbindungen untersuchen" in der Kaspersky-Software eingeschaltet, so kommuniziert der Browser nicht mehr direkt mit einem Server, sondern mit dem vermeintlichen Schutzprogramm. Dieses stellt selbst dann eine SSLv3-Verbindung her, auch wenn dieses Protokoll im Browser ausgeschaltet ist.

Das ist problematisch, weil die Verbindung dann über die Poodle-Lücke angreifbar ist. Eine vermeintlich verschlüsselte SSL-Verbindung ist durch Poodle angreifbar, deshalb entfernen die Browserhersteller derzeit auch das veraltete SSLv3 aus ihren Programmen. Die Kaspersky-Software fügt diese Funktion nun unnötigerweise wieder hinzu.

Der russische Antivirenhersteller bestätigte Heise Online das Problem und will sein Produkt patchen - aber erst im ersten Quartal 2015. Im Supportforum von Kaspersky heißt es sogar, ein Rechner sei nur durch Poodle angreifbar, wenn er ohnehin schon kompromittiert sei. Und eine Man-in-the-Middle-Attacke würde das Kaspersky-Programm sowieso abfangen - ein schwaches Sicherheitsversprechen.

Wer Kaspersky Internet Security also bis zu einem Patch weiterhin einsetzen will, sollte die Option "Sichere Verbindungen untersuchen" vorerst abschalten und seinem Browser SSLv3-Verbindungen verbieten.



Anzeige
Hardware-Angebote
  1. ab 225€
  2. (u. a. WD 8 TB externe Festplatte USB 3.0 149,99€)

xmaniac 09. Dez 2014

Wann war das, in den 90ern oder 00er Jahre? Nenn doch mal einen halbwegs aktuellen...


Folgen Sie uns
       


Tesla Model 3 - Test

Das Tesla Model 3 ist seit Mitte Februar 2019 in Deutschland erhältlich. Wir sind es gefahren.

Tesla Model 3 - Test Video aufrufen
Gesetzesinitiative des Bundesrates: Neuer Straftatbestand Handelsplattform-Betreiber im Darknet
Gesetzesinitiative des Bundesrates
Neuer Straftatbestand Handelsplattform-Betreiber im Darknet

Eine Gesetzesinitiative des Bundesrates soll den Betrieb von Handelsplattformen im Darknet unter Strafe stellen, wenn sie Illegales fördern. Das war auch bisher schon strafbar, das Gesetz könnte jedoch vor allem der Überwachung dienen, kritisieren Juristen.
Von Moritz Tremmel

  1. Security Onionshare 2 ermöglicht einfachen Dateiaustausch per Tor
  2. Tor-Netzwerk Britischer Kleinstprovider testet Tor-SIM-Karte
  3. Tor-Netzwerk Sicherheitslücke für Tor Browser 7 veröffentlicht

Verschlüsselung: Die meisten Nutzer brauchen kein VPN
Verschlüsselung
Die meisten Nutzer brauchen kein VPN

VPN-Anbieter werben aggressiv und preisen ihre Produkte als Allheilmittel in Sachen Sicherheit an. Doch im modernen Internet nützen sie wenig und bringen oft sogar Gefahren mit sich.
Eine Analyse von Hanno Böck

  1. Security Wireguard-VPN für MacOS erschienen
  2. Security Wireguard-VPN für iOS verfügbar
  3. Outline Digitalocean und Alphabet-Tochter bieten individuelles VPN

Security: Vernetzte Autos sicher machen
Security
Vernetzte Autos sicher machen

Moderne Autos sind rollende Computer mit drahtloser Internetverbindung. Je mehr davon auf der Straße herumfahren, desto interessanter werden sie für Hacker. Was tun Hersteller, um Daten der Insassen und Fahrfunktionen zu schützen?
Ein Bericht von Dirk Kunde

  1. Alarmsysteme Sicherheitslücke ermöglicht Übernahme von Autos
  2. Netzwerkanalyse Wireshark 3.0 nutzt Paketsniffer von Nmap
  3. Sicherheit Wie sich "Passwort zurücksetzen" missbrauchen lässt

    •  /