Massive Sicherheitslücke im SSL/TLS-Protokoll
Ein neues Sicherheitsloch, das jetzt im weit verbreiteten Transport-Layer-Security- und Secure-Sockets-Layer-Protokoll entdeckt wurde, ermöglicht Man-in-the-Middle-Angriffe. Angreifer können sich darüber in eine SSL-Session einklinken und so beispielsweise die Vergabe eines neuen Passworts initiieren.
- Massive Sicherheitslücke im SSL/TLS-Protokoll
- Schnelle Lösung gefragt
Der IT-Security-Spezialisten Marsh Ray ist auf eine schwere Sicherheitslücke im Transport-Layer-Security-Protokoll (TLS) und dem darauf aufsetzenden Secure Sockets-Layer-Protokoll (SSL) gestoßen, die es Angreifern erlaubt, zu Beginn einer SSL-Sitzung eigenen Programmcode einzuschleusen. Damit wird eine Man-in-the-Middle-Attacke möglich, über die der Angreifer beispielsweise Passwörter zurücksetzen kann.
Die Internet Engineering Task Force (IETF) arbeitet derzeit im Eiltempo daran, die Lücke zu schließen und will heute noch (5. November) einen Vorschlag vorlegen, wie die Sicherheitslücke geschlossen werden kann. Zwar war bereits im September eine Task-Force aus Fachleuten von IT-Security- und Netzwerkfirmen gegründet worden, die sich mit dem Problem beschäftigen. Um nicht die Aufmerksamkeit von Cyberkriminellen auf die Lücke zu lenken, arbeitet die Gruppe jedoch bisher im Geheimen.
SSL ist ein weit verbreitetes Sicherheitsprotokoll. Es verschlüsselt Daten, die über Internet-Verbindungen übermittelt werden. User erkennen eine SSL-Verbindung daran, dass die URL einer Web-Seite mit https:// beginnt statt des üblichen http://. Auch viele VPN-Verbindungen (Virtual Private Networks) basieren auf SSL.
