Anleitung für Firefox, Chrome und IE
Poddle: Gefährliche SSL-Lücke - so schützen Sie sich!
Googles Sicherheitsexperten haben in dem älteren aber weiterhin noch häufig genutzten SSL-Protokoll 3.0 eine schwerwiegende Sicherheitslücke entdeckt. Darauf weist Google in einem Eintrag in seinem Sicherheitsblog hin. "Dieser Pudel beißt", heißt es dort. Dem gefundenen Sicherheitsschwäche wurde nämlich der Name "Poodle" (deutsch: Pudel) gegeben, wobei sich der Name aus der Funktionsweise der Anfälligkeit ergibt:Padding Oracle On Downgraded Legacy Encryption. Die letzte große SSL-Lücke sorgte unter dem Namen "Heartbleed" für Schlagzeilen, weshalb jetzt von "Poddlebleed" die Rede ist.
Die neu entdeckte Lücke erlaubt es laut Google Angreifern, den Klartext aus einer eigentlich sicheren SSL-Verschlüsselung zu errechnen.
SSL 3.0 ist über 15 Jahre alt, wird aber weiterhin oft verwendet. Alle wichtigen Browser unterstützen SSL 3.0, um bei einem Fehler beim Zugriff auf einen HTTPS-Server über die Nutzung von SSL 3.0 sich doch noch Zugriff zu verschaffen. Genau dies könnten auch Angreifer für ihre Zwecke ausnutzen, befürchten die Sicherheitsexperten von Google. Die Angreifer eines Netzwerks könnten einen Verbindungsfehler auslösen, um dann über SSL 3.0 auf den Server zu gelangen und dann die Lücke auszunutzen.
Durch den Aufruf dieser Website können Sie schnell und einfach feststellen, ob Ihr Browser anfällig für die SSL-Lücke ist.
Firefox, Chrome und IE: So schützen Sie sich
Die Empfehlung lautet daher, die Unterstützung von SSL 3.0 im verwendeten Browser zu deaktivieren. Das ist allerdings je nach Browser mehr oder weniger umständlich möglich. Eine Anleitung für alle Browser und gängigen Systeme finden Sie auf dieser Seite.
Für Chrome muss beispielsweise eine Verknüpfung zum Aufruf von Chrome auf den Desktop abgelegt werden. Dieser muss dann unter Eigenschaften bei Ziel nach dem abschließenden Ausrufezeichen bei "chrome.exe" noch
--ssl-version-min=tls1
hinzugefügt werden. Außerdem muss der Anwender daran denken, künftig Chrome nur noch über die angelegte Verknüpfung aufzurufen. In naher Zukunft will Google die Unterstützung von SSL 3.0 aus allen seinen Client-Produkten entfernen.
Das kündigen auch die Entwickler von Mozilla für Firefox in einem Blog-Eintrag an. Ab Firefox 34 soll dies geschehen. Firefox 34 wird Ende November erscheinen. In allen Vorabversionen von Firefox 34 ist die Unterstützung für SSL 3.0 ab sofort abgeschaltet. Firefox-Nutzern die nicht bis Ende November warten möchten, bietet Mozilla mit SSL Version Control ein Firefox-Addon zum Download an, über das die Unterstützung für SSL 3.0 im Browser manuell abgeschaltet werden kann.
Auch Microsoft dürfte die Unterstützung von SSL 3.0 aus dem Internet Explorerbald entfernen. Bis dahin können Sie auch im IE die Unterstützung von SSL 3.0 manuell deaktivieren. Rufen Sie dazu die "Internetoptionen" des Browsers auf und wechseln Sie dann in den Reiter "Erweitert". Hier entfernen Sie dann das Häkchen bei "SSL 3.0 verwenden" unter Sicherheit. (PC Welt/mje)