Categories: CybersicherheitSicherheitsmanagement

OpenSSL schließt kritische Sicherheitslücke

Am kommenden Donnerstag will das OpenSSL-Projekt Patches für die gleichnamige Verschlüsselungssoftware veröffentlichen. Die Versionen 1.0.2a, 1.0.1m, 1.0.0r and 0.9.8zf schließen mehrere Sicherheitslücken. Von mindestens einer geht ein hohes Risiko aus.

Mehrere Sicherheitsforscher diskutieren auf Twitter unter dem Hashtag “openssl” über die Schwere des Fehlers. Sie hoffen, dass die Lücke nicht ähnlich schwerwiegend ist, wie der Heartbleed-Fehler. Die Schwachstelle mit der Kennung CVE-2014-0160 kam im vergangenen Jahr an die Öffentlichkeit.

Entdeckt haben sie die Sicherheitsfirma Codenomicon und der Google-Forscher Neel Mehta. Angreifer konnten die Sicherheitslücke ausnutzen, um auf den flüchtigen Speicher eines Webservers zuzugreifen. Auf diese Weise erhielten sie die Möglichkeit, Nutzernamen sowie Passwörter von Usern auszulesen. Der Fehler betraf Millionen von Servern. Die Sicherheitslücke bedrohte selbst zwei Monate nach Bereitstellung von fehlerbereinigten OpenSSL-Varianten immer noch rund 300.000 Server.

In Deutschland sahen sich unter anderem die großen E-Mail-Provider gezwungen, die eigenen Server zu aktualisieren. Sie schafften es innerhalb weniger Tage und bannten somit relativ schnell die Gefahr durch Heartbleed. Dennoch empfahlen die Anbietern, dass Nutzer ihre Passwörter für Server betroffener Dienste zu wechseln.

NSA hielt Schwachstellen zurück

Angeblich soll der amerikanische Geheimdienst NSA die Heartbleed-Lücke für Spionagezwecke ausgenutzt haben. In einem Blog dementierte zwar ein hochrangiger Beamter des Weißen Hauses die Vorwürfe, räumte aber ein das einzelne Schwachstellen zurückgehalten wurden.

Um derartige schwere Fehler zukünftig zu vermeiden, hat das OpenSSL-Projekt beschlossen, zukünftigen Programm-Code von unabhängigen Spezialisten prüfen zu lassen. Vor wenigen Tagen gab die die angesehene Sicherheitsfirma NCC Group bekannt, dass es das sogenannte “Code Audit” durchführen wird.

[mit Material von Kai Schmerer, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Lesen Sie auch : Cyberangriffe verstecken sich im verschlüsselten Datenverkehr

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.