Workaround für SSL-/TLS-Sicherheitslücke bei Windows


    Tags: , ,

    Im Internet sind Informationen aufgetaucht, mit deren Hilfe Angreifer eine Sicherheitslücke in SSL 3.0 und TLS 1.0 ausnutzen können. Dadurch lassen sich verschlüsselte SSL/TLS-Daten (Secure Socket Layer / Transport Layer Security) entschlüsseln. Dies kann im Rahmen einer Man-in-the-Middle-Attacke erfolgen, bei sich ein Angreifen in den Datenverkehr zwischen zwei Endpoints einklinkt.

    Betroffen sind alle Windows-Client- und –Server-Versionen ab Windows XP SP beziehungsweise Windows Server 2003 SP 2. Derzeit gibt es nach Angaben von Microsoft noch keinen Patch, der dieses Sicherheitsloch schließt. Das Unternehmen hat daher in der Sicherheitsempfehlung 2588513 einen Workaround veröffentlicht. Microsoft weist explizit darauf hin, dass es sich bei dem Problem um eine "Sicherheitsanfälligkeit" handelt, die das Protokoll betrifft, nicht Windows.

    Active Scripting deaktivieren

    Diese Schwachstelle wirkt sich hauptsächlich auf HTTPS-Datenverkehr aus, weil der Browser die primäre Angriffsmethode ist. Jeglicher über HTTPS bereitgestellter Internetdatenverkehr oder gemischte HTTP/HTTPS-Inhalte seien betroffen.

    Microsoft empfiehlt, dem RC4-Algorithmus in Serversoftware Vorrang gewähren, die auf Systemen mit Windows Vista, Windows Server 2008 oder höher ausgeführt wird. Außerdem sollten User beziehungsweise Systemverwalter TLS 1.1 beziehungsweise 1.2 auf Windows-Clients (im Browser) und Windows-Servern aktivieren.

    Zudem sollte Active Scripting deaktiviert werden. Alternativ dazu sollten die Einstellungen so geändert werden, dass Active Scripting nur auf Nachfrage gestartet wird. Das letztgenannte Verfahren ist vorzuzuziehen, weil viele Web-Sites über Scripts Funktionen bereitstellen, etwa Menüs, Formulare oder Abrechnungsservices.

    Wann die Sicherheitslücke geschlossen sein wird, ist derzeit nicht absehbar.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Bernd Reder

    Bernd Reder ist seit über 20 Jahren als Journalist zu den Themen IT, Netzwerke und Telekommunika­tion tätig. Zu seinen beruflichen Sta­tionen zählen unter anderem die Fachtitel "Elektronik" und "Gateway".Bei der Zeitschrift "Network World" war Reder als stellver­tretender Chefredakteur tätig. Von 2006 bis 2010 baute er die Online-Ausgabe "Network Computing" auf.Derzeit ist Bernd Reder als freier Autor für diverse Print- und Online-Medien sowie für Firmen und PR-Agenturen aktiv.
    // Kontakt: E-Mail, XING //

    Ähnliche Beiträge

    Weitere Links