OpenSSL schließt kritische Sicherheitslücke
Bislang sind keine Einzelheiten zu den Schwachstellen bekannt. Am 19. März will das OpenSSL-Projekt mehrere Patches veröffentlichen. Sicherheitsforscher spekulieren über die Schwere des Fehlers.
Am kommenden Donnerstag will das OpenSSL-Projekt Patches für die gleichnamige Verschlüsselungssoftware veröffentlichen. Die Versionen 1.0.2a, 1.0.1m, 1.0.0r and 0.9.8zf schließen mehrere Sicherheitslücken. Von mindestens einer geht ein hohes Risiko aus.
Mehrere Sicherheitsforscher diskutieren auf Twitter unter dem Hashtag “openssl” über die Schwere des Fehlers. Sie hoffen, dass die Lücke nicht ähnlich schwerwiegend ist, wie der Heartbleed-Fehler. Die Schwachstelle mit der Kennung CVE-2014-0160 kam im vergangenen Jahr an die Öffentlichkeit.
Entdeckt haben sie die Sicherheitsfirma Codenomicon und der Google-Forscher Neel Mehta. Angreifer konnten die Sicherheitslücke ausnutzen, um auf den flüchtigen Speicher eines Webservers zuzugreifen. Auf diese Weise erhielten sie die Möglichkeit, Nutzernamen sowie Passwörter von Usern auszulesen. Der Fehler betraf Millionen von Servern. Die Sicherheitslücke bedrohte selbst zwei Monate nach Bereitstellung von fehlerbereinigten OpenSSL-Varianten immer noch rund 300.000 Server.
In Deutschland sahen sich unter anderem die großen E-Mail-Provider gezwungen, die eigenen Server zu aktualisieren. Sie schafften es innerhalb weniger Tage und bannten somit relativ schnell die Gefahr durch Heartbleed. Dennoch empfahlen die Anbietern, dass Nutzer ihre Passwörter für Server betroffener Dienste zu wechseln.
NSA hielt Schwachstellen zurück
Angeblich soll der amerikanische Geheimdienst NSA die Heartbleed-Lücke für Spionagezwecke ausgenutzt haben. In einem Blog dementierte zwar ein hochrangiger Beamter des Weißen Hauses die Vorwürfe, räumte aber ein das einzelne Schwachstellen zurückgehalten wurden.
Um derartige schwere Fehler zukünftig zu vermeiden, hat das OpenSSL-Projekt beschlossen, zukünftigen Programm-Code von unabhängigen Spezialisten prüfen zu lassen. Vor wenigen Tagen gab die die angesehene Sicherheitsfirma NCC Group bekannt, dass es das sogenannte “Code Audit” durchführen wird.
[mit Material von Kai Schmerer, ZDNet.de]
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de