Software::Security
Neues SSL/TLS-Problem gefährdet Kommunikation
Die Forscher Juliano Rizzo und Thai Duong, beide Experten für Computersicherheit und Kryptografie, haben eine neue Schwachstelle im SSL/TLS-Protokoll gefunden. Über diese lässt sich die Kommunikation zwischen Browser und Webseiten abhören.
Von der Schwachstelle ist das TLS-Protokoll 1.0 betroffen, das von den meisten Browsern verwendet wird, obwohl es seit langem neuere Versionen gibt. Rizzo und Duong wollen ihren Browser Exploit Against SSL/TLS, kurz BEAST, am Freitag auf der Ekoparty Security Conference in Buenos Aires vorführen.
Rizzo und Duong gelang es, ein kleines JavaScript in den Browser des Opfers zu schleusen und damit die Cookies aus SSL-verschlüsselten Datenströmen zu lesen, die Nutzern Zugang zu geschützten Bereichen einer Webseite erlauben. Der JavaScript-Code ermöglicht eine Plaintext-Attacke gegen die Verbindung. Einzelne Cookies lassen sich laut den Forschen durchschnittlich innerhalb von fünf Minuten entschlüsseln. Um die Attacke auszuführen, muss der Angreifer als Man-in-the-Middle positioniert sein.
Die Schwachstelle ist seit mehreren Jahren bekannt, aber bisher hat aber niemand einen Exploit für möglich gehalten. Gemäß Duong muss das komplette TLS-Protokoll 1.0 überarbeitet werden, um dem Problem beizukommen. Browser- und TLS-Anbieter versuchen wohl seit Mai, die Schwachstelle zu beheben, haben bisher jedoch keine Lösung gefunden, die zu allen existierenden Anwendungen kompatibel ist.
Die schon seit längerem existierenden TLS-Versionen 1.1 und 1.2 sind von den Problemen nicht betroffen, so dass die Forscher raten, die Appliktionen auf neuere Versionen umzustellen.
