Pudel-Lücke: Die Neunzigerjahre schlagen zurück

Die neu aufgetauchte SSL-Lücke gefährdet einmal mehr Internet-User. Wer aktuelle Browser verwendet und die uralte SSL-Version 3.0 abschaltet, sollte auf der sicheren Seite sein.
 
Es ist nicht die erste schwerwiegende SSL-Lücke und es wird auch nicht die letzte sein: Anfang Woche machte Google die Sicherheitslücke Poodle (Padding Oracle On Downgraded Legacy Encryption) publik, mit der sich die SSL-Verschlüsselung aushebeln lässt.
 
Pudel ist wie Heartbleed eine Lücke im SSL- beziehungsweise im Nachfolgeprotokoll Transport Layer Security (TLS). Weil Angreifer Sessions im Browser stehlen können, sind insbesondere E-Banking-Portale gefährdet. Die Lücke ist zwar potenziell gravierend, doch Exploits sind schwer zu bewerkstelligen, sagt Christian Folini, Webserver-Engineer und Senior Security Consultant beim Berner IT-Dienstleister Netnea. "Um eine Session zu stehlen, müsste der Angreifer eine Man-in-the-Middle-Attacke inszenieren und dann tausende von Requests durchführen, um an das komplette Session-Cookie zu gelangen." Entsprechend sind bisher keine Angriffe bekannt. Zum Vergleich: Bei Shellshock dauerte es Minuten, bis erste Exploits auftauchten. Folini geht davon aus, dass die meisten Banken mittlerweile die Lücke geschlossen haben.
 
Speziell sei bei dieser Lücke, dass es Angreifer fertig bringen könnten, den Client auf die alte SSL-Version 3.0 downzugraden. Die Version stammt aus den Neunzigerjahren, wird aber noch von allen aktuellen Browsern unterstützt. Schaffen es, Cyberkriminelle den Einsatz von SSLv3 zu erzwingen, können Session-Cookies gestohlen werden. User aktueller Browser sollten die Unterstützung von SSLv3 deshalb abschalten. Gefährdet sich hingegen Leute, die ältere Browser unterstützen, die gar nicht weiter gehen als SSLv3. Einer dieser Browser ist der Internet Explorer 6.0.
 
Auf dieser Seite kann man Browser und Server auf Sicherheitslücken testen. Anleitungen, wie man SSLv3 abschaltet, gibt es hier. Und ein weiterer Hinweis: Die Pudel-Sicherheitslücke dürfte an der Swiss Cyberstorm Konferenz am nächsten Mittwoch in Luzern ein heiss diskutiertes Thema sein. (mim)