Pudel und Sandwurm: die aktuellen Bedrohungen

Inzwischen liefert Microsoft für den Internet Explorer ein «Fix it» für die kürzlich bekannt gewordene Browser-Sicherheitslücke «Poodle» nach. Beim «Poodle» handelt es sich um eine Sicherheitslücke in der Webverschlüsselung SSL. In aktuellen Browsern kommt die TLS-Verschlüsselung zum Zuge. Da aber viele Internetnutzer und Server noch mit dem veralteten Protokoll SSL 3.0 unterwegs sind, kann jeder Browser auch auf SSL 3.0 zurückgreifen. Just diese Kompatibilitätseinstellung nutzen Angreifer aus, um Browser über die ungesicherte Verbindung zu infiltrieren und diese auf SSL 3.0 zurückzustufen. Angreifer versuchen, mit einzelnen Session-Cookies Byte für Byte Nutzerdaten wie Passwörter und Benutzernamen abzugreifen.

Lösung: In den meisten Browser-Versionen findet man unter den erweiterten Optionen eine Liste, mit der Sie SSLv3 abschalten. Mehr dazu verrät dieser ausführliche Kummerkasten.

Die Alternative, die Microsoft inzwischen mit einem «Fix it» anbietet, stellt nur eine Lösung für den Internet Explorer in der Version 11 dar. Wer mit dem IE 11 unterwegs ist, installiert am besten den Fix it. Bei älteren IE-Versionen funktioniert er nach Feststellungen von Heise.de leider nicht zuverlässig genug. 

Laden Sie den «Fix it 51024» herunter und klicken Sie durch den Installationsassistenten. Eine komplette Behebung stellt die Lösung allerdings nach wie vor nicht dar, weil eigentlich nur SSL 3.0 ausgeschaltet wird.

Fazit: Für Chrome, Firefox, IE und Opera befolgen Sie am besten den Kummerkasten, für den IE 11 bietet sich der Fix von Microsoft an. Wenn Sie regelmässig Browser-Updates und Updates von der Windows-Zentrale zulassen, sollte das kaputte SSL 3.0 irgendwann automatisch geflickt sein.