Menü

Microsoft veröffentlicht Fix-It-Tools für SSL/TLS-Schwachstelle

Lesezeit: 1 Min.
In Pocket  speichern vorlesen Drucken Kommentare lesen 77 Beiträge
Update
Security
Von

Der Softwarekonzern Microsoft hat eine Warnung veröffentlicht, in der er auf das potenzielle Spionagerisiko bei Einsatz des Modes CBC in Kombination mit AES hinweist. Microsoft schlägt als einen Workaround den Wechsel auf die Stromverschlüsselung mittels RC4 vor, die für die gemeldete Chosen-Plaintext-Attacke nicht anfällig ist. Eine Anleitung dazu hat Microsoft veröffentlicht.

Für den Einsatz von RC4 müsste der Administrator in der Liste der Verschlüsselungssammlungen beispielsweise TLS_RSA_WITH_RC4_128_MD5 ganz nach vorne stellen. Weil aber die Einigung darauf nicht immer funktionieren muss, schlägt Microsoft die sicherere Methode vor: den Wechsel auf TLS 1.1.

Dazu haben die Redmonder zwei Fix-it-Tools veröffentlicht, die TLS 1.1 im Internet Explorer und Windows-Servern aktivieren. Standardmäßig ist nur TLS 1.0 aktiviert, obwohl etwa der Internet Explorer TLS 1.1 und TLS 1.2 unterstützt. Die Optionen lassen sich dort auch ohne Fix-it-Tool unter Internetoptionen/Erweitert setzen oder löschen. Auf Windows-Servern ist die manuelle Konfiguration etwas mühseliger, da man in der Registry bestimmte Schlüssel für den Secure Channel (schannel) ändern muss. Daher empfiehlt sich dort der Einsatz der Fix-it-Tools.

Die Firefox-Entwickler diskutieren unterdessen noch, wie man das Problem am besten löst, ohne die Kompatibilität mit Webservern zu beeinträchtigen. Allerdings tun sie das bereits seit Ende Juni. Damals hatte Thai Duong den Entwickler Dan Veditz bereits auf das drohende Problem hingewiesen und wie sich die Schwachstelle mit Websockets und Java Applets ausnutzen lässt. Aktuell unterstützt Firefox nur TLS 1.0.

[Update]Nach Angaben von Christian Holler, Security Engineer bei Mozilla, diente die Diskussion in der Mozilla-Datenbank auch der Koordinierung anderer Browser- und Server-Hersteller, um die Kompatibiltät zu gewährleisten. Zudem sei erst im Rahmen dieses Austausches klar geworden, dass sich die Schwachstelle nur zusammen mit Websockets oder Java Applets überhaupt ausnutzen lässt.[/Update] (dab)