Als vor wenigen Tagen erstmals über die Freak-Attacke gegen verschlüsselte Internetverbindungen berichtet wurde, betonten deren Entdecker, dass beinahe ausschließlich Android- und iOS-Geräte gefährdet seien. Wie sich nun herausstellt, war diese Annahme falsch.

Bestätigung

So ist in der aktualisierten Liste der gefährdeten Browser auch Microsofts Internet Explorer gelistet. Der Softwarehersteller selbst bestätigt das Problem mittlerweile in einem Security Advisory, betroffen sind alle gängigen Windows-Versionen.

Linux

Auch Linux-Systeme sind nicht - wie bisher angenommen - vollständig sicher vor diesem Angriff. So zeigt sich Opera auch auf dem freien Betriebssystem anfällig für Freak-Attacken. Verantwortlich für die ursprüngliche Fehleinschätzung sei ein falsch konfigurierter Testserver gewesen, erläutern die Forscher.

Update

Unterdessen reagieren die ersten Hersteller mit Updates. Bei der aktuellsten Version von Chrome für OS X lässt sich die Attacke bereits nicht mehr durchführen. Und Apple hat Updates für die kommende Woche versprochen. Wer herausfinden will, ob der eigene Browser verwundbar ist, kann dies auf einer eigenen Testseite.

Hintergrund

Die Freak-Lücke macht sich eine Altlast aus Internet-Frühzeiten zu nutze: Viele Server lassen ein Downgrade einer SSL-Verbindung auf unsichere Verschlüsselungs-Ciphers zu. Deren Schlüssel können innerhalb weniger Stunden geknackt werden, anschließend können die Angreifer den gesamten Datenverkehr zu dem betreffenden Server mitlesen und manipulieren. Laut den Entdeckern des Problems sind aktuell noch immer fast ein Drittel aller HTTPS-Server für das Problem anfällig. Ob ein einzelner Server betroffen ist, lässt sich ebenfalls über ein Test-Tool herausfinden. (apo, derStandard.at, 6.3.2015)