Schnelle Lösung gefragt

Von der Lücke betroffen sind SSL 3.0, aber auch alle anderen Anwendungen, die auf TLS 1.0+ aufsetzen. Dazu gehört beispielsweise IMAP (Internet Message Access Protocol). Weitere Details dazu hat Ray im Blog Extended Subset veröffentlicht. Laut Ray weist TLS eine »Authentifizierungslücke« auf, die bei Aufbau einer Verbindung zwischen einem Client und einem Server zum Tragen kommt. Neben SSL sind auch OpenSSL und GNU TLS angreifbar. Entwickler, die an diesen Projekten mitarbeiten, haben bereits Patches vorgelegt. Diese werden derzeit jedoch erst getestet. Auch Hersteller von Hard und Software, die TLS und SSL verwendet, sind dabei, für ihre Produkte entsprechende Upgrades vorzubereiten.

Tests mit Apache- und Microsoft-IIS-Servern ergaben, dass Angreifer sich in diese Kommunikation einklinken können. Wie Marsh Ray in dem erwähnten Blog-Beitrag schreibt, ist Eile angesagt. Darin enthalten ist ein Link zu einem ZIP-File, der technische Details zur Sicherheitslücke enthält. Details zu dem Loch wurden auch bereits von anderen Experten veröffentlicht. Somit ist sei nur noch eine Frage der Zeit, bis auch Cyberkriminelle diese Informationen auswerten und Angriffe starten würden. Der White-Hat-Hacker Moxie Martinspike hält solche Attacken hingegen für wenig wahrscheinlich, da mit der Client-Certificate-Authentication vor allem ein Verfahren gefährdet sei, das nur in seltenen Fällen Verwendung findet. Marsh Ray wiederum hält dagegen, auch Sessions, bei denen diese Technik nicht eingesetzt wird, könnten von Hackern manipuliert werden.