Lücke in TLS-1.0 - Angriffe trotz verschluesselter Browser-Sitzungen

Begonnen von News-Man, Oktober 01, 2011, 04:28:04 NACHMITTAGS

Vorheriges Thema - Nächstes Thema

News-Man

Gefahr auch beim Online-Banking!
Ein "https" in der Browserzeile weist auf eine verschluesselte Verbindung hin. Sie soll etwa beim Online- Banking und Online-Shopping eine hoehere Sicherheitsstufe gewaehrleisten. Doch jetzt, so informiert
das BUERGER-CERT www.buerger-cert.de, kann genau diese gesicherte Verbindung von Angreifern genutzt werden - zumindest dann, wenn die Verschluesselung auf dem Protokoll TLS-1.0 basiert (TLS: Transport Layer Security).
In den Nachfolge-TLS-Versionen 1.1 und 1.2 ist diese Schwachstelle nicht mehr vorhanden, doch die meisten Browser unterstuetzen diese Versionen noch nicht. Durch die Schwachstelle koennen Angreifer eine gesicherte Browser-Sitzung (https://...) uebernehmen. Laut BUERGER-CERT sind nach derzeitigem Kenntnisstand alle Browser betroffen. Deshalb sei kurzfristig mit Updates zu rechnen. Weil es fuer den Laien nicht ganz einfach ist, zu pruefen, welche Verschluesselungs-Variante verwendet wird, sollten alle Anwender
generell, zurzeit aber besonders, folgende Sicherheitsmassnahmen beachten, um die Gefahr eines erfolgreichen Angriffs zu verringern:
1. "https"-Verbindungen sollten mit einem frisch gestarteten Browser durchgefuehrt werden.

2. Waehrend einer gesicherten Sitzung sollten keine anderen Webseiten geoeffnet sein, also etwa in Tabs oder parallelen Fenstern.

3. Gesicherte Sitzungen (Online-Banking, -Shopping, Soziale Netzwerke etc.) sollten moeglichst kurz gehalten und durch aktives Ausloggen sowie Schliessen des Browser-Fensters beendet werden.

4. Java-Plugins im Browser sollten deaktiviert werden, weil die Angriffe auf die gesicherten Verbindungen nach derzeitigem Kenntnisstand die Java-Funktion benoetigen.

Quelle und mehr: Newsletter www.buerger-cert.de