Am kommenden Donnerstag will das OpenSSL-Projekt Patches für die gleichnamige Verschlüsselungssoftware veröffentlichen. Die Versionen 1.0.2a, 1.0.1m, 1.0.0r and 0.9.8zf schließen mehrere Sicherheitslücken. Von mindestens einer geht ein hohes Risiko aus.
Mehrere Sicherheitsforscher diskutieren auf Twitter unter dem Hashtag “openssl” über die Schwere des Fehlers. Sie hoffen, dass die Lücke nicht ähnlich schwerwiegend ist, wie der Heartbleed-Fehler. Die Schwachstelle mit der Kennung CVE-2014-0160 kam im vergangenen Jahr an die Öffentlichkeit.
Entdeckt haben sie die Sicherheitsfirma Codenomicon und der Google-Forscher Neel Mehta. Angreifer konnten die Sicherheitslücke ausnutzen, um auf den flüchtigen Speicher eines Webservers zuzugreifen. Auf diese Weise erhielten sie die Möglichkeit, Nutzernamen sowie Passwörter von Usern auszulesen. Der Fehler betraf Millionen von Servern. Die Sicherheitslücke bedrohte selbst zwei Monate nach Bereitstellung von fehlerbereinigten OpenSSL-Varianten immer noch rund 300.000 Server.
Angeblich soll der amerikanische Geheimdienst NSA die Heartbleed-Lücke für Spionagezwecke ausgenutzt haben. In einem Blog dementierte zwar ein hochrangiger Beamter des Weißen Hauses die Vorwürfe, räumte aber ein das einzelne Schwachstellen zurückgehalten wurden.
Um derartige schwere Fehler zukünftig zu vermeiden, hat das OpenSSL-Projekt beschlossen, zukünftigen Programm-Code von unabhängigen Spezialisten prüfen zu lassen. Vor wenigen Tagen gab die die angesehene Sicherheitsfirma NCC Group bekannt, dass es das sogenannte “Code Audit” durchführen wird.
[mit Material von Kai Schmerer, ZDNet.de]
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Kurz vor der Fußball-Europameisterschaft in Deutschland nehmen die Cyberbedrohungen für Sportfans zu, warnt Marco Eggerling…
Software für das Customer Relationship Management muss passgenau ausgewählt und im Praxistest an das einzelne…
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…