Auch Windows-Nutzer von Freak-Lücke betroffen

Die kürzlich von Sicherheitsforschern entdeckte Freak-Lücke betrifft auch Windows-Nutzer. Bislang war nur bekannt, dass Apples Mac OS X und iOS sowie Browser unter Android und Blackberry das einfache Entschlüsseln von HTTPS-Traffic ermöglichten. Doch offenbar ist auch Microsofts Betriebssystem Windows davon betroffen. Auf einem aktuellen Windows-7-System mit Internet Explorer 11 konnten Sicherheitsforscher den Angriff problemlos durchführen.

Microsoft betonte in einer Aussendung, dass man sich der Lücke bewusst sei, die in allen Windows-Versionen zu finden ist. Ein Update, das nach Abschluss der Untersuchung veröffentlicht werden soll, soll die Lücke schließen. Laut Microsoft habe man aber bislang keine Hinweise darauf gefunden, dass die Lücke im großen Rahmen genutzt wurde. Google und Apple haben bereits entsprechende Updates entwickelt, die im Laufe der nächsten Woche verteilt werden sollen.

Auch FBI und NSA betroffen

FREAK-Attacken, abgekürzt für „Factoring attack on RSA-EXPORT Keys“, sind möglich, wenn ein betroffenes Gerät sich mit einer ebenfalls von der Lücke betroffenen Webseite verbindet. Dabei schleust der Angreifer Pakete ein, die die Verschlüsselung auf einen 512-Bit-Key reduzieren.

Diese sind ein Relikt eines mittlerweile ausgelaufenen US-Gesetzes, das US-Unternehmen die Verwendung von stärkerer Verschlüsselung im Ausland untersagte. Mit der Hilfe von verteilten Rechenzentren, beispielsweise jenen von Amazon, lässt sich dann der Key relativ günstig knacken und der mitgeschnittene Traffic entschlüsseln. Von der Sicherheitslücke sind hunderttausende Webseiten betroffen, darunter auch die Webseiten der US-Behörden NSA und FBI.