News

Microsoft plant Deaktivierung von SSLv3 im IE und in allen Online-Services

Microsoft plant, die Unterstützung des kryptografisch schwachen Protokolls SSLv3 im Internet Explorer zu einem noch nicht genauer definierten Zeitpunkt zu deaktivieren und die Unterstützung dieses Protokolls auch bald aus den Online-Services des Unternehmens zu löschen.

Die Sicherheit und der Nutzen von SSLv3 stellen schon seit langem ein Problem dar, doch dieses Problem erlangte erst kürzlich höchste Priorität, nachdem die Experten bei Google Details einer neuen Attacke mit der Bezeichnung POODLE aufdeckten, die es Cyberkriminellen ermöglicht, geschützte Daten unter bestimmten Umständen zu dechiffrieren. Wenn ein Cyberkrimineller die Internet-Verbindung seines Ziels kontrolliert und er sein Opfer dazu bringen kann, Javascript im Browser zu starten, ist er in der Lage, den Inhalt der von SSLv3 geschützten Sitzung zu entschlüsseln. Um das zu tun, muss das Angriffsziel dazu gebracht werden, das veraltete Protokoll zu verwenden, was möglich ist, indem ein Abbruch der Verbindung zwischen Server und Client herbeigeführt wird. Daraufhin versucht der Server, eine Verbindung mit dem Client über ein anderes Protokoll herzustellen.

SSLv3 gibt es schon fast 15 Jahre lang und Experten halten es schon seit langem für eine Sicherheitsbedrohung und haben den Betreibern von Websites nicht nur einmal empfohlen, neuere Alternativen zu verwenden, wie z.B. TLS 1.2. Doch es gibt noch eine Menge Sites, die nach wie vor SSLv3 verwenden, und der IE 6, ein Dinosaurier unter den Browsern, unterstützt in der Standardeinstellung keine geschützten Protokolle der Transportschicht, die neuer als SSLv3 sind. Vertreter von Microsoft teilten mit, dass das Unternehmen plant, die Möglichkeit des IE auf SSLv3 zurückzugreifen, zu löschen, und mit der Zeit die Verwendung dieses Protokolls per Standardeinstellung zu deaktivieren.

„Wir sind fest entschlossen, unsere Kunden zu schützen, indem wir die beste Verschlüsselung zum Schutz ihrer Daten bereitstellen. Um das zu erreichen, arbeiten wir an der Deaktivierung des Zurücksetzens auf SSL 3.0 im IE sowie an der Deaktivierung von SSL 3.0 als Standardeinstellung im IE und in den Online-Diensten von Microsoft in den kommenden Monaten“, schreibt Tracey Pretorius vom MSRC (Microsoft Security Response Center) in einem Blog.

„Millionen Menschen und tausende Organisationen weltweit verlassen sich auf unsere Produkte und Services, und da die Zahl der Systeme, die sich ausschließlich auf SSL 3.0 verlassen, sehr gering ist, räumen wir ein, dass die Deaktivierung gewisse Auswirkungen haben könnte, besonders für Unternehmen. Daher gehen wir dieses Problem planvoll an und haben unsere Kunden im Voraus informiert.“

Microsoft hat zudem das Tool FixIt veröffentlicht, das es Nutzern ermöglicht, die Unterstützung von SSLv3 in jeder beliebigen unterstützten IE-Version zu deaktivieren.

Quelle: Threatpost

Microsoft plant Deaktivierung von SSLv3 im IE und in allen Online-Services

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

 

Berichte

Virologie mobiler Geräte 2016

Im Jahr 2016 stieg die Zahl der Werbe-Trojaner, die in der Lage sind, Superuser-Rechte zu nutzen, weiterhin an. Im Verlauf des gesamten Jahres war das die Bedrohung Nummer eins und wir können bisher keinerlei Anzeichen für eine Trendwende in diesem Bereich erkennen.

Spam im Jahr 2016

Im Jahr 2016 haben sich in den Spam-Strömen verschiedene Veränderungen vollzogen. Die bedeutsamste Veränderung ist dabei sicherlich die Zunahme von Versendungen mit schädlichen Erpresser-Programmen. Wenn man berücksichtigt, wie relativ einfach diese Programme auf dem Schwarzmarkt zu haben sind, so wird sich diese Tendenz aller Wahrscheinlichkeit fortsetzen.

Kaspersky Security Bulletin 2016/2017. Jahresrückblick. Statistik für 2016

2016 war ein angespanntes und turbulentes Jahr im Cyberspace – von riesigen IoT-Botnets über Ransomware bis hin zu zielgerichteten Cyberspionage-Attacken, Finanzdiebstählen und Hacktivismus war alles vertreten – und sogar noch vieles mehr. Der Jahresrückblick und die Statistik für 2016 von Kaspersky Lab liefern einen detaillierten Überblick über diese Ereignisse. Die Kurzzusammenfassung finden Sie hier.

Kaspersky Security Bulletin 2016/2017. Die Ransomware-Revolution

Zwischen Januar und September 2016 hat sich die Zahl der Ransomware-Attacken auf Unternehmen verdreifacht, das ist gleichbedeutend mit einem Angriff alle 40 Sekunden. Der Markt für Ransomware-as-a-Service boomt, das Projekt NoMoreRansom wurde ins Leben gerufen: Für Kaspersky Lab ist Ransomware DAS Thema des Jahres 2016.

Abonnieren Sie unsere wöchentlichen E-Mails

Brandaktuelle Themen direkt in Ihr Postfach