Abo
  • Services:

SSLv3: Kaspersky-Software hebelt Schutz vor Poodle-Lücke aus

Das Paket Kaspersky Internet Security kann auch bei Browsern, die unsichere Verbindungen per SSLv3 nicht unterstützen, das veraltete Protokoll dennoch aktivieren. Patchen will das der Hersteller erst 2015, es gibt aber schon jetzt eine einfache Lösung.

Artikel veröffentlicht am ,
Poodle wurde die jetzt entdeckte SSL-Sicherheitslücke getauft.
Poodle wurde die jetzt entdeckte SSL-Sicherheitslücke getauft. (Bild: Luly/Wikimedia Commons/CC by 2.0)

Selbst wenn ein Browser wie der aktuelle Firefox 34 und die nächste Version 40 von Chrome SSLv3 nicht mehr nutzt, kann darüber dennoch eine Verbindung hergestellt werden. Dies berichtet Heise Online, nachdem ein Leser die Redaktion darauf aufmerksam gemacht hatte. Die Kollegen konnten das Problem nachstellen, es liegt daran, wie Kaspersky Internet Security funktioniert.

Stellenmarkt
  1. matrix technology AG, München
  2. Holl Flachdachbau GmbH & Co. KG Isolierungen, Fellbach bei Stuttgart

Das Programm arbeitete wie ein Man-in-the-middle: Ist die Funktion "Sichere Verbindungen untersuchen" in der Kaspersky-Software eingeschaltet, so kommuniziert der Browser nicht mehr direkt mit einem Server, sondern mit dem vermeintlichen Schutzprogramm. Dieses stellt selbst dann eine SSLv3-Verbindung her, auch wenn dieses Protokoll im Browser ausgeschaltet ist.

Das ist problematisch, weil die Verbindung dann über die Poodle-Lücke angreifbar ist. Eine vermeintlich verschlüsselte SSL-Verbindung ist durch Poodle angreifbar, deshalb entfernen die Browserhersteller derzeit auch das veraltete SSLv3 aus ihren Programmen. Die Kaspersky-Software fügt diese Funktion nun unnötigerweise wieder hinzu.

Der russische Antivirenhersteller bestätigte Heise Online das Problem und will sein Produkt patchen - aber erst im ersten Quartal 2015. Im Supportforum von Kaspersky heißt es sogar, ein Rechner sei nur durch Poodle angreifbar, wenn er ohnehin schon kompromittiert sei. Und eine Man-in-the-Middle-Attacke würde das Kaspersky-Programm sowieso abfangen - ein schwaches Sicherheitsversprechen.

Wer Kaspersky Internet Security also bis zu einem Patch weiterhin einsetzen will, sollte die Option "Sichere Verbindungen untersuchen" vorerst abschalten und seinem Browser SSLv3-Verbindungen verbieten.



Anzeige
Hardware-Angebote
  1. mit Gutschein: HARDWARE50 (nur für Neukunden, Warenwert 104 - 1.000 Euro)
  2. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)

xmaniac 09. Dez 2014

Wann war das, in den 90ern oder 00er Jahre? Nenn doch mal einen halbwegs aktuellen...


Folgen Sie uns
       


Vayyar Smart Home - Hands on

Vayyar hat auf der Ifa 2018 Vayyar Home vorgestellt. Die Box kann in einem Raum eine gestürzte Person erkennen und Hilfe rufen.

Vayyar Smart Home - Hands on Video aufrufen
Amazon Alexa: Echo Sub verhilft Echo-Lautsprechern zu mehr Bass
Amazon Alexa
Echo Sub verhilft Echo-Lautsprechern zu mehr Bass

Amazon hat einen Subwoofer speziell für Echo-Lautsprecher vorgestellt. Damit sollen die eher bassarmen Lautsprecher mit einem ordentlichen Tiefbass ausgestattet werden. Zudem öffnet Amazon seine Multiroom-Musikfunktion für Alexa-Lautsprecher anderer Hersteller.

  1. Beosound 2 Bang & Olufsen bringt smarten Lautsprecher für 2.000 Euro
  2. Google und Amazon Markt für smarte Lautsprecher wächst weiter stark
  3. Alexa-Soundbars im Test Sonos' Beam und Polks Command Bar sind die Klangreferenz

iPhone Xs, Xs Max und Xr: Wer unterstützt die eSIM in den neuen iPhones?
iPhone Xs, Xs Max und Xr
Wer unterstützt die eSIM in den neuen iPhones?

Apples neue iPhones haben neben dem Nano-SIM-Slot eine eingebaute eSIM, womit der Konzern erstmals eine Dual-SIM-Lösung in seinen Smartphones realisiert. Die Auswahl an Netzanbietern, die eSIMs unterstützen, ist in Deutschland, Österreich und der Schweiz aber eingeschränkt - ein Überblick.
Von Tobias Költzsch

  1. Apple Das iPhone Xr macht's billiger und bunter
  2. Apple iPhones sollen Stiftunterstützung erhalten
  3. XMM 7560 Intel startet Serienfertigung für iPhone-Modem

Oldtimer-Rakete: Ein Satellit noch - dann ist Schluss
Oldtimer-Rakete
Ein Satellit noch - dann ist Schluss

Ursprünglich sollte sie Atombomben auf Moskau schießen, dann kam sie in die Raumfahrt. Die Delta-II-Rakete hat am Samstag ihren letzten Flug.
Von Frank Wunderlich-Pfeiffer

  1. Stratolaunch Riesenflugzeug bekommt eigene Raketen
  2. Chang'e 4 China stellt neuen Mondrover vor
  3. Raumfahrt Cubesats sollen unhackbar werden

    •  /