Browser-Hersteller arbeiten an Patches für SSL-Lücke

4. August 2009, 09:32
3 Postings

Experte: Lücke wird in kommenden Monaten für Angriffe auf Unternehmen ausgenutzt

Browser-Hersteller wollen sich der von den Sicherheitsexperten Moxie Marlinspike, Dan Kaminsky und Len Sassaman getrennt voneinander entdeckten SSL-Lücke annehmen. Die Teilnehmer der Hacker-Konferenzen Black Hat und DefCon in Las Vegas hatten in Vorträgen auf die schwerwiegende Sicherheitslücke im Umgang aktueller Browser mit der SSL-Technik aufgedeckt. Die Lücke ermöglicht es Angreifern durch eine Man-in-the-middle-Attacke vertrauliche Informationen wie Passwörter oder Kreditkartennummern abzufangen.

Nicht bei neuen Zertifikaten

Microsoft kündigte eine Untersuchung an. Mozilla teilte mit, das Problem werde zum größten Teil in der jüngsten Version seines Firefox-Browsers behoben; es soll aber noch diese Woche ein Update geben, das die Lücke komplett schließen soll. Bei VeriSign, dem führenden Anbieter von SSL-Zertifikaten, sagte Manager Tim Callan, die "Abhörlücke" greife nicht bei einer neuen Art von Zertifikaten, den "Extended Validation SSL certificates". Diese sind allerdings teurer und mit einer eingehenderen Prüfung des Antrags verbunden.

"Gewaltiger Weckruf"

Jeff Moss, der Gründer der Black-Hat- und DefCon-Konferenzen sprach von einem "gewaltigen Weckruf für die Branche". Der SSL-Experte Jon Miller sagte, er erwarte, dass die Sicherheitslücke in den kommenden Monaten für Angriffe auf Unternehmen ausgenutzt werde. (APA/AP/red)

  • SSL-Lücke soll behoben werden
    screenshot: res

    SSL-Lücke soll behoben werden

Share if you care.