Poodle: Sicherheitslücke in alter SSL-Verschlüsselung entdeckt

Die Gefahr von Poodle

Poodle - neue Sicherheitslücke bei Chrome, Firefox, Internet Explorer
Poodle heißt die neue Sicherheitslücke im Browser. (Bild: aboutpixel.de / Peter Kirchhoff)

Poodle (Padding Oracle On Downgraded Legacy Encryption) wurde von Google-Mitarbeitern entdeckt und benannt, die daraufhin eine sofortige Sicherheitswarnung auf dem Sicherheitsblog von Google veröffentlichten. Dort heißt es, dass es durch Poodle Dritten möglich wird, Cookies abzugreifen, die eine bestehende SSL-Verschlüsselung nutzen. Zuvor wird die Internetverbindung jedoch so manipuliert, dass der Browser automatisch von TLS auf SSL umsteigt.

So arbeitet Poodle

  • Poodle manipuliert den Datenstrom zwischen User und Server, um die Daten abzugreifen.
  • Dazu wird der verwendete Browser dazu gebracht, SSL 3.0 zu verwenden.
  • Das funktioniert, indem die aktuellere Sicherheitsverschlüsselung (oftmals TLS) immer wieder abbricht.
  • Ist dies gelungen, wird die Reaktion vom Server in Form von Cookies abgefangen und entschlüsselt.

Die Funktionsweise von SSL

SSL ist ein Standard-Verschlüsselungsprotokoll, das bereits seit 15 Jahren verwendet wird. Werden Daten in ein Formular im Internet eingegeben und zum Ziel-Server übertragen, sorgt SSL dafür, dass diese verschlüsselt werden. So wird verhindert, das Dritte keine sensiblen Daten abfangen können. Besonders E-Mail-Anbieter, Online-Shops und Banken, die Online-Banking anbieten, nutzen das Verschlüsselungsprotokoll SSL, um die Daten ihrer Kunden vor den Augen Dritter zu schützen.

Poodle ist auf dem Vormarsch
Cyberkriminelle greifen Daten von Usern auf dem Weg zum Server ab. (Bild:HaywireMedia / Fotolia)

Schon lange gibt es ein besseres Verschlüsselungsprotokoll: TLS. Dieses wird in der Regel auch von allen gängigen Browsern unterstützt. Kommt es bei der Anmeldung beispielsweise zum Online-Banking zu einer Fehlermeldung, greifen Browser auf das alte Verschlüsselungsprotokoll SSL zurück. Diese Einstellungen betreffen vor allem Nutzer von Browsern wie Google Chrome, Firefox und den Internet Explorer.

Schutz vor Poodle

Anders als bei der Heartbleed-Sicherheitslücke schützt die Änderung der Passwörter nicht vor Poodle. Um zu vermeiden, dass Browser auf SSL 3.0 zurückgreifen, sind zwei Dinge zu beachten:

  • Neuste Version des Browsers nutzen.
  • In den Einstellungen des Browsers SSL deaktivieren.

Diese Hinweise sind unabhängig vom Browser, der verwendet wird, umsetzbar. Auf den jeweiligen Webseiten von Firefox und Co. finden sich entsprechende Sicherheitshinweise und -tipps für Nutzer.

SSL deaktivieren

Um SSL im Mozilla Firefox zu deaktivieren, ist die neuste Version des Browsers nötig. Diese erscheint jedoch erst am 25. November. Um die Aktualisierung nicht zu verpassen, wird empfohlen, automatische Updates zu erlauben. Dies wird aktiviert, in dem man im offenen Browser auf Einstellungen klickt, dort auf Erweitert und unter dem Punkt Update bei automatische Installation ein Häkchen setzt.

User des Internet-Explorer können die Nutzung von SSL selbst deaktivieren, in dem sie im offenen Browser auf Internetoptionen, dann Erweitert klicken und unter Sicherheit den Haken bei SSL entfernen. Wer den Browser Google Chrome benutzt, findet hier eine englischsprachige Anleitung. Ob auch andere Browser wie Safari betroffen sind, ist noch nicht bekannt. Aber auch da schützt man sich am besten durch die aktuellste Version.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.