Workaround für SSL-/TLS-Sicherheitslücke bei Windows

Im Internet sind Informationen aufgetaucht, mit deren Hilfe Angreifer eine Sicherheitslücke in SSL 3.0 und TLS 1.0 ausnutzen können. Dadurch lassen sich verschlüsselte SSL/TLS-Daten (Secure Socket Layer / Transport Layer Security) entschlüsseln. Dies kann im Rahmen einer Man-in-the-Middle-Attacke erfolgen, bei sich ein Angreifen in den Datenverkehr zwischen zwei Endpoints einklinkt.

Betroffen sind alle Windows-Client- und –Server-Versionen ab Windows XP SP beziehungsweise Windows Server 2003 SP 2. Derzeit gibt es nach Angaben von Microsoft noch keinen Patch, der dieses Sicherheitsloch schließt. Das Unternehmen hat daher in der Sicherheitsempfehlung 2588513 einen Workaround veröffentlicht. Microsoft weist explizit darauf hin, dass es sich bei dem Problem um eine "Sicherheitsanfälligkeit" handelt, die das Protokoll betrifft, nicht Windows.

Active Scripting deaktivieren

Diese Schwachstelle wirkt sich hauptsächlich auf HTTPS-Datenverkehr aus, weil der Browser die primäre Angriffsmethode ist. Jeglicher über HTTPS bereitgestellter Internetdatenverkehr oder gemischte HTTP/HTTPS-Inhalte seien betroffen.

Microsoft empfiehlt, dem RC4-Algorithmus in Serversoftware Vorrang gewähren, die auf Systemen mit Windows Vista, Windows Server 2008 oder höher ausgeführt wird. Außerdem sollten User beziehungsweise Systemverwalter TLS 1.1 beziehungsweise 1.2 auf Windows-Clients (im Browser) und Windows-Servern aktivieren.

Zudem sollte Active Scripting deaktiviert werden. Alternativ dazu sollten die Einstellungen so geändert werden, dass Active Scripting nur auf Nachfrage gestartet wird. Das letztgenannte Verfahren ist vorzuzuziehen, weil viele Web-Sites über Scripts Funktionen bereitstellen, etwa Menüs, Formulare oder Abrechnungsservices.

Wann die Sicherheitslücke geschlossen sein wird, ist derzeit nicht absehbar.