SSL und sein Nachfolger TLS dienen dazu, Daten sicher zwischen zwei
Rechnern zu übertragen. Die häufigsten Einsatzzwecke sind der
sicher Zugriff auf Websites über HTTPS und die sichere
Übertragung von E-Mails zwischen Client und Server.
Für das Protokoll SSLv3 wurde nun ein Poodle genannter neuer Angriff
vorgestellt. Eigentlich wird SSLv3 längst nicht mehr benötigt,
kann aber als Fallback-Lösung genutzt werden. Bei einem
Poodle-Angriff provoziert der Angreifer (der Zugriff auf alle Daten der
Verbindung haben muss) erst den Rückfall auf SSLv3 und kann danach
aufgrund einer Schwachstelle in SSLv3 Teile der verschlüsselten Daten,
zum Beispiel Session-Cookies, entschlüsseln.
SSLv3 ist 18 Jahre alt und schon öfter durch Schwachstellen
aufgefallen. Spätestens jetzt sollte jeder aufhören, es zu
verwenden. Hinweise dazu sowohl für Clients als auch für Server
finden Sie am Ende des Texts.
Der 14. Oktober war Microsofts monatlicher Patchday, und gleichzeitig eine
Art 0-Day-Patchday. Denn es wurden sage und schreibe 6 0-Day-Schwachstellen
behoben:
Je eine Schwachstelle im OLE Package Manager und im Kernel erlauben
die Ausführung beliebigen Codes aus der Ferne und werden bereits
im Rahmen vereinzelter, gezielter Angriffe ausgenutzt. Die Anzahl
dieser 0-Exploits in 2014 ist damit auf
11
gestiegen.
Eine Schwachstelle im Kernel erlaubt eine lokale Privilegieneskalation
und wird ebenfalls bereits im Rahmen von Angriffen ausgenutzt,
ebenso wie eine Schwachstelle im Internet Explorer, die zum Ausbruch
aus der Sandbox genutzt wird.
Für eine Privilegieneskalation im Message Queuing Service wurde
zwar ein Exploit veröffentlicht, bisher haben sich die Angreifer
dafür aber nicht interessiert, ebenso wenig wie für eine
öffentlich gemeldete XSS-Schwachstelle im Microsoft ASP.NET Model
View Controller (MVC).
CVE-2014-4114 ("Sandworm") - Codeausführung über präparierte Office-Dateien