Poodle SSLv3 Sicherheitslücke

Nach heartbleed kommt der Poodle. Die nächste Lücke in der SSL Sicherheit diverser Browser. Erste Informationen dazu lieferte vorgestern Googles Sicherheitsblog mit einem Eintrag.



Praktisch alle aktuellen Browser können durch einen Bug dazu gebracht werden runter auf die veraltete SSLv3 Verschlüsselung zu schalten. Diese gilt inzwischen nicht mehr als sicher und könnte ausgenutzt werden.

Wie teste ich ob mein Browser betroffen ist?

Auf der Seite von ZMAP gibt es eine SSLv3 Abfrage. Ist das Feld rot besteht Handlungsbedarf, ist es blau, dann ist alles OK. ZMAP liefert gleich die entsprechenden Lösungen an.

Wer den etwas umständlichen Weg bei Google Chrome nicht per Automator selbst gehen will, findet das darüber gestartete Programm zum sicheren Starten von Chrome per shell script (open -a "Google Chrome.app" --args --ssl-version-min=tls1) unter OSX hier zum Herunterladen (Chrome beenden und statt Chrome zu starten die App starten). Das Script startet Chrome mit der Mindestverschlüsselung von tls1.