Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum>Software>Google Chrome SSLv3 abgewöhnen (Schutz vor Poodle Attack)

Google Chrome SSLv3 abgewöhnen (Schutz vor Poodle Attack)

Marcel_75@work
Marcel_75@work15.10.1415:26
Hallo zusammen,

sicher benutzen einige von Euch auch Google Chrome als Standard-Browser?

Dann habt ihr eventuell auch das Problem, dass ein Aufruf über das Terminal per:

/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --ssl-version-min=tls1

nicht zum gewünschten Ergebnis beim Poodle-Sicherheitscheck führt?



Das liegt am Auto-Updater von Google, der funkt dazwischen!

Lösung:

1. Auto-Updates deaktivieren per:

defaults write com.google.Keystone.Agent checkInterval 0

2. Den LaunchAgent und LaunchDaemon von Google löschen:

rm -Rf /Library/LaunchAgents/com.google.keystone.agent.plist | rm -Rf /Library/LaunchDaemons/com.google.keystone.daemon.plist

3. Den Google Software Updater entfernen:

rm -Rf /Library/Google/GoogleSoftwareUpdate/

Dann funktioniert es wie gewünscht.

Man kann sich natürlich ein kleines Script bauen, damit Google Chrome mit den gewünschten Einstellungen startet. Und man muss halt daran denken, dass man so ab und an selbst schauen muss ob Updates vorhanden sind (per "über Google Chrome").

(Automatische Updates für alle Benutzer dann vorerst deaktiviert lassen.)
0

Kommentare

camaso
camaso15.10.1415:32
Und wie geht das fürn Safari?
0
Marcel_75@work
Marcel_75@work15.10.1415:42
Bei Mozilla Firefox geht das sehr einfach per about:config und bei Google Chrome wie beschrieben per Terminal.

Für Safari ist mir keine solche Option bekannt, da muss es wohl Apple selbst richten …

Davon abgesehen - auch die Server-Betreiber müssen reagieren, zu testen z.B. hier:

0
Marcel_75@work
Marcel_75@work16.10.1417:48
Noch mal zum Thema Safari …

SSL steckt bei OS X Mavericks in einer Dynamic Library.

/usr/lib/libssl.dylib ist letztlich nur ein Verweis auf /usr/lib/libssl.0.9.8.dylib

Ein

openssl version

zeigt uns, dass OpenSSL unter 10.9.5 aktuell noch bei Version za steht:

OpenSSL 0.9.8za 5 Jun 2014

Aktuell wäre mittlerweile 0.9.8zc

Der SCSV-Fallback () wurde erst mit dieser Version implementiert, siehe auch

Das heißt, entweder muss man nun abwarten, bis Apple ein Sicherheitsupdate mit aktueller OpenSSL-Version veröffentlicht oder sich per Homebrew eine SSLv3-freie Variante kompilieren, wobei man dann auch gleich die aktuellste OpenSSL-Version 1.0.1j nutzen kann:



Oder halt zur Sicherheit bis auf weiteres auf Safari verzichten.

PS: Letztlich ist von dem Problem ja nicht nur Safari betroffen, sondern sämtliche Software unter OS X, die Gebrauch von OpenSLL macht, also u.a. auch Apple Mail …
0
camaso
camaso16.10.1417:54
Danke für die ausführlichen Angaben. Schon einige Zeit denke ich über den Wechsel zu FF nach.
0
Marcel_75@work
Marcel_75@work17.10.1406:11
Für OS X hat Apple nun etwas parat: Security Update 2014-005

Und ACHTUNG: Scheinbar war es das nun (nach Erscheinen von OS X 10.10 Yosemite) für OS X Lion, was die Versorgung mit Security-Updates angeht …

Das ist reine Willkür von Apple, traurig.

APPLE-SA-2014-10-16-2 Security Update 2014-005

Security Update 2014-005 is now available and addresses the
following:

Secure Transport
Available for: OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5
Impact: An attacker may be able to decrypt data protected by SSL
Description: There are known attacks on the confidentiality of SSL
3.0 when a cipher suite uses a block cipher in CBC mode. An attacker
could force the use of SSL 3.0, even when the server would support a
better TLS version, by blocking TLS 1.0 and higher connection
attempts. This issue was addressed by disabling CBC cipher suites
when TLS connection attempts fail.
CVE-ID
CVE-2014-3566 : Bodo Moeller, Thai Duong, and Krzysztof Kotowicz of
Google Security Team
0
Marcel_75@work
Marcel_75@work17.10.1406:37
Ok, der oben verlinkte Poodle-Test schlägt immer noch an in Safari und auch OpenSSL ist unverändert bei Version 0.9.8za

Apple umgeht das Problem, in dem sie den CBC-Modus bei SSLv3-Verbindungen deaktivieren.

Das heißt also, Apple hat sich entschieden (vermutlich aus Kompatibilitätsgründen), SSLv3 vorerst nicht komplett zu deaktivieren. Gleichzeitig bedeutet das aber, dass SSLv3-Verbindungen nun per RC4-Chiffrierung laufen sollen, was auch nicht gerade ´ne schöne Lösung ist …

Oder irre ich mich?
0
dom_beta17.10.1411:29
Also, die aktuelle Chrome-Version ist nicht verwundbar. Safari unter 10.8 aber schon.
„...“
0

Kommentieren

Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.