Ergebnis 1 bis 6 von 6

Thema: AVAST HTTPS-Scanning ermöglicht SSLv3 (Poodle-Lücke) ?

  1. #1
    Senior Mitglied
    Registriert seit
    Oct 2013
    Beiträge
    202
    Danke / Gefällt mir

    AVAST HTTPS-Scanning ermöglicht SSLv3 (Poodle-Lücke) ?

    Ich dachte ich könnte davon nicht betroffen sein, weil mein Browser (FF 34) kein SSLv3 mehr unterstüzt. Allerdings bin ich durch die Diskussion im Firefox Forum (http://www.camp-firefox.de/forum/vie...?f=12&t=110319) etwas verunsichert.
    Die Testseite www.poodletest.com/ zeigt bei aktiviertem avast HTTPS-Scanning meinen Browser als angreifbar. Bei deaktiviertem HTTPS-Scanning als nicht angreifbar, b.z.w. wird gesagt SSLv3 wird nicht unterstüzt.
    Das wäre natürlich fatal, wenn avast HTTPS-Scanning so eine Lücke auftut. Ich lasse es erstmal deaktiviert, bis ich was genaueres weiss.

  2. #2
    Senior Mitglied
    Registriert seit
    Oct 2013
    Beiträge
    202
    Danke / Gefällt mir
    @ Adama: Was ist Deine Meinung? HTTPS-Scanning aktivieren oder nicht?

  3. #3
    Globaler Moderator Avatar von TerraX
    Registriert seit
    Feb 2010
    Ort
    Baden-Württemberg
    Beiträge
    3.348
    Danke / Gefällt mir
    Hallo Robert88,

    hier eine Erklärung (auf englisch) von Lukor (Avast Team) im Herstellerforum.
    https://forum.avast.com/index.php?to...508#msg1159508

    TerraX
    WIN 7 64bit / AVAST Premier / MBAM Free / Firefox ESR [NS/uBO] / Thunderbird / AOS/ASB

  4. Danke Robert88 hat sich für diesen Beitrag bedankt
  5. #4
    AVADAS GmbH
    Registriert seit
    Sep 2007
    Beiträge
    17.176
    Danke / Gefällt mir
    Hallo,


    um das Ganze mal ins Deutsche zu bringen...


    Das Entwicklerteam arbeitet momentan an einer Verbesserung des HTTPS-Scanners, um Handshakes und das Aushandeln der Protokolle transparenter zu gestalten. Der HTTPS Scanner unterstützt momentan SSLv3 Verbindungen, ist aber aber nicht auf dem klassischen Weg verwundbar für POODLE Angriffe, da der Scanner nicht ein Downgrade des Protokolls bei erneuten Versuchen vornimmt. SSLv3 Verbindungen werden nur aufgebaut, wenn der Server explizit SSLv3 anfordert. Das ist z.B. der Fall, wenn der Server nur SSLv3 als bestes Protokoll unterstützt.


    Normlerweise wird beim SSL Handshake das gleiche Protokoll benutzt, dass der Client auch angefordert hat (TLS 1.2, 1.1, 1). Wenn der Client (im CLIENT HELLO Paket) SSLv3 anfordert, wird die Verbindung sogar auf TLS1 hochgestuft. Bei SSLv3 Servern ist Avast im Moment für POODLE Angriffe anfällig. Wenn der Client kein SSLv3 unterstützen würde, würde der Zugriff auf diese Seiten überhaupt nicht möglich sein. In der nächsten Version wird der Client hier ebenfalls SSLv3 Verbindungen zurückweisen.


    Der POODLE Test ist deswegen positiv, da der Server SSLv3 im SERVER HELLO Paket anfordert.


    Die POODLE Verwundbarkeit erlaubt es dem Angrifer, ein BYTE pro Verbindung durchsickern zu lassen. Wenn der Angreifer mehrere Hundert unterschiedliche Verbindungen (z.B. mit JavaScript auf der infizierten Seite) erstellt, kann er jedesmal ein anderes BYTE freigeben und eventuell etwas brauchbares dabei ergattern - z.B. ein Session Cookie.


    Dafür braucht der Angreifer eine SSLv3 Verbindung. Der Angreifer blockiert die Handshake Pakete und hofft darauf, dass der Client niedrigere Protokoll Versionen verwenden wird. Da Avast keine erneute Verbindung mit SSLv3 aufbaut, wenn die Handshake Pakete blockiert werden, werden bei weiteren Verbindungen mit dem HTTPS Scanner mindestens TLS1 verwendet.


    Daher sollte die momentane Implementierung des HTTPS Scanners nicht für die klassische POODLE Attacke verwundbar sein.


    Allerdings fehlen noch ein paar Dinge in der derzeitigen Implementierung. Momentan wird noch kein TLS_FALLBACK_SCSV Verschlüsselung gesendet, so dass Verbindungen mit niedrigeren Versionen (z.B. TLS1 statt TLS1.2) aufgebaut werden können, wenn Wiederholungen / Blockierungen stattfinden - aber nicht mit SSLv3. Das soll in Avast 2015 R2 verbessert werden.
    Aktuelles Avast Release: Version Avast 19.5.2378 verfügbar!

  6. Danke Robert88, TerraX hat sich für diesen Beitrag bedankt
  7. #5
    Senior Mitglied
    Registriert seit
    Oct 2013
    Beiträge
    202
    Danke / Gefällt mir
    Vielen Dank. Ich werde trotzdem ersteinmal das HTTPS-Scanning deaktiviert lassen und die nächste avast Programmversion abwarten. Im Moment ist von meiner Seite her alles beantwortet.

  8. #6
    AVADAS GmbH
    Registriert seit
    Sep 2007
    Beiträge
    17.176
    Danke / Gefällt mir
    Hallo,

    danke für die Rückmeldung, dann schliesse ich das Thema als "Gelöst".
    Aktuelles Avast Release: Version Avast 19.5.2378 verfügbar!

Ähnliche Themen

  1. Geschlossen Avast 2016 Heimnetzwerk-Sicherheit meldet Lücke ROM-0
    Von TerraX im Forum Avast 2016
    Antworten: 25
    Letzter Beitrag: 16.12.15, 11:55
  2. Gelöst Verständnisfrage zum Web-Schutz / HTTPS-Scanning
    Von Falconcrest im Forum Avast 2015
    Antworten: 11
    Letzter Beitrag: 07.07.15, 11:10
  3. Gelöst HTTPS-Scanning in Avast 2015 blockiert Updatesuche in SeaMonkey
    Von Peter12 im Forum Avast 2015
    Antworten: 17
    Letzter Beitrag: 09.11.14, 22:12
  4. Geschlossen AAVM scanning warning - Problem mit On-Access-Scanner?
    Von Sprinto im Forum Avast 4.x
    Antworten: 4
    Letzter Beitrag: 16.03.09, 19:16
  5. Geschlossen AAVM - scanning warning
    Von Frosty im Forum Avast 4.x
    Antworten: 2
    Letzter Beitrag: 31.01.08, 11:26

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •