SSL: Neue Sicherheitslücke aufgetaucht

Im Sicherheitsprotokoll SSL/TLS haben Forscher eine tief gehende Lücke gefunden. Diese ermöglicht theoretisch eine Man-in-the-Middle-Attacke, über die Angreifer eine sichere Verbindung infiltrieren können. Allerdings müssen dazu die Vorgaben stimmen, selbst dann ist es laut dem Sicherheitsforscher Chris Paget auch „nur“ möglich, Anfragen in den SSL-geschützten Stream einzuspeisen. Ein Entschlüsseln der Daten ist laut Paget nicht möglich. Erschwerend kommt hinzu, dass die Attacke aus dem Netzwerk des Opfers heraus gestartet werden muss. Die Schwachstelle selbst sei aber tief im Code von SSL vergraben. Dadurch betrifft sie relativ viele Anwendungen, etwa Webserver, Browser, SQL Server oder Peer-to-Peer-Verbindungen.

Das ist nicht das erste Mal, das Forscher eher theoretische Lücken in SSL entdecken. Da das Protokoll mittlerweile einer der Stützpfeiler des Internets ist, besonders im Bereich eCommerce, genießt es eine besondere Aufmerksamkeit der Forscher. Die aktuelle Lücke wurde erst am Mittwoch, 04.11.2009 von der Firma PhoneFactor veröffentlicht. Adminstratoren, die das Protokoll einsetzen, sollten sich auf entsprechende Patches gefasst machen. (mja)