Microsoft: Workaround für TLS-Leck

Microsoft hat einen Workaround für eine in der vergangenen Woche entdeckte Lücke in Version 1.0 von Transport Layer Security (TLS) bereitgestellt. TLS ist der Nachfolger von SSL (Secure Sockets Layer) und sichert Websites, auf die per HTTPS zugegriffen wird.

Microsofts Fix-it-Tool steht bisher nur für Windows 7 und Server 2008 R2 zur Verfügung. Das Problem betrifft einer Sicherheitswarnung zufolge aber auch Windows XP, Server 2003, Vista und Server 2008. Das Tool konfiguriert den Internet Explorer unter Windows 7 und Server 2008 R2 automatisch so, dass er TLS 1.1 oder TLS 1.2 nutzt, die im Gegensatz zu TLS 1.0 nicht anfällig sind. Microsoft weist aber darauf hin, dass trotz der Einstellung immer dann TLS 1.0 verwendet wird, wenn ein Webserver die neueren Versionen nicht unterstützt.

Darüber hinaus rät der Konzern, ActiveX Controls und Active Scripting zu deaktivieren, indem in den Internetoptionen die Sicherheitsstufe für die Zone ‘Internet’ auf ‘hoch’ gestellt wird. Alternativ sei es möglich, im Internet Explorer eine Abfrage für Active Scripting einzurichten. Nutzer sollten zudem die Browser-Cookies löschen und keine unverschlüsselten Websites besuchen, während eine HTTPS-Browsersitzung läuft.

“Das ist ein branchenweites Problem, dass das Ökosystem Internet als Ganzes betrifft und nicht nur eine bestimmte Plattform”, schreibt Microsoft-Sprecher Jerry Bryant in einem Blogeintrag. Interne Untersuchungen hätten gezeigt, dass das Risiko für Anwender nur “minimal” sei. Die Schwachstelle werde bisher noch nicht aktiv ausgenutzt, so Bryant weiter.

Für einen erfolgreichen Angriff sei eine aktive HTTPS-Sitzung auf dem Rechner eines Opfers notwendig. Zudem müsse der Schadcode, der den HTTPS-Datenverkehr entschlüssele, innerhalb der Browsersitzung ausgeführt werden und der Code müsse so behandelt werden, als stamme er vom HTTPS-Server. Die Behelfslösung richte sich an Kunden, die für sich ein erhöhtes Risiko durch die TLS-Lücke unterstellten.