Eine Funktion in SSL (Secure Sockets Layer) bzw. im Nachfolger TLS (Transport Layer Security) wurde nun zu einem Sicherheitsproblem, wie Heise Online mit Verweis auf ein Proof of Concept bei Twitter berichtet. Demnach ist es mittels der Renegotiation-Funktion von TLS möglich, HTTPS-Requests mit unterschiedlichen Verschlüsselungen zusammenfassen und vom Server schließlich entschlüsseln zu lassen. Dadurch lässt sich zwar der HTTPS-Request des Opfers im Man-in-the-Middle-Angriff nicht unmittelbar einsehen, aber als eigene Request-Daten ausgeben. Im Fall von Twitter konnte so Benutzername und Kennwort des Opfers als Tweet beim Angreifer abgelegt werden. Twitter soll mittlerweile mit einem Fix dieses Problem unterbinden, doch dürften von der Problematik auch viele andere Dienste betroffen sein, bei denen Daten unmittelbar verarbeitet werden. Die Entwickler von OpenSSL haben bereits reagiert und mit 0.9.8l die Renegotiation-Funktion stillgelegt. Hersteller wie Cisco arbeiten ebenfalls an einer Behebung der Sicherheitslücke.

Weiterführende Links:

• Secure Goose Blog
• Heise Online