Categories: CybersicherheitSicherheitsmanagement

OpenSSL schließt kritische Sicherheitslücke

Am kommenden Donnerstag will das OpenSSL-Projekt Patches für die gleichnamige Verschlüsselungssoftware veröffentlichen. Die Versionen 1.0.2a, 1.0.1m, 1.0.0r and 0.9.8zf schließen mehrere Sicherheitslücken. Von mindestens einer geht ein hohes Risiko aus.

Mehrere Sicherheitsforscher diskutieren auf Twitter unter dem Hashtag “openssl” über die Schwere des Fehlers. Sie hoffen, dass die Lücke nicht ähnlich schwerwiegend ist, wie der Heartbleed-Fehler. Die Schwachstelle mit der Kennung CVE-2014-0160 kam im vergangenen Jahr an die Öffentlichkeit.

Entdeckt haben sie die Sicherheitsfirma Codenomicon und der Google-Forscher Neel Mehta. Angreifer konnten die Sicherheitslücke ausnutzen, um auf den flüchtigen Speicher eines Webservers zuzugreifen. Auf diese Weise erhielten sie die Möglichkeit, Nutzernamen sowie Passwörter von Usern auszulesen. Der Fehler betraf Millionen von Servern. Die Sicherheitslücke bedrohte selbst zwei Monate nach Bereitstellung von fehlerbereinigten OpenSSL-Varianten immer noch rund 300.000 Server.

In Deutschland sahen sich unter anderem die großen E-Mail-Provider gezwungen, die eigenen Server zu aktualisieren. Sie schafften es innerhalb weniger Tage und bannten somit relativ schnell die Gefahr durch Heartbleed. Dennoch empfahlen die Anbietern, dass Nutzer ihre Passwörter für Server betroffener Dienste zu wechseln.

NSA hielt Schwachstellen zurück

Angeblich soll der amerikanische Geheimdienst NSA die Heartbleed-Lücke für Spionagezwecke ausgenutzt haben. In einem Blog dementierte zwar ein hochrangiger Beamter des Weißen Hauses die Vorwürfe, räumte aber ein das einzelne Schwachstellen zurückgehalten wurden.

Um derartige schwere Fehler zukünftig zu vermeiden, hat das OpenSSL-Projekt beschlossen, zukünftigen Programm-Code von unabhängigen Spezialisten prüfen zu lassen. Vor wenigen Tagen gab die die angesehene Sicherheitsfirma NCC Group bekannt, dass es das sogenannte “Code Audit” durchführen wird.

[mit Material von Kai Schmerer, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Leave a Comment
Share
Published by
Andre Borbe
Tags: NSAVerschlüsselung
9 Jahre ago

Recent Posts

IT-Verantwortliche setzen auf KI-Hosting in Europa

Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.

8 Stunden ago

Studie: KI-Technologie unverzichtbar für zukunftsfähige Paketlogistik

Mit KI können Unternehmen der Paketbranche Prozesse optimieren, Kosten einsparen und sich zukunftssicher aufstellen.

9 Stunden ago

Microsoft Teams in der öffentlichen Verwaltung

Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.

1 Tag ago

Diebstahlsicherung mit KI

Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.

1 Tag ago

Neue, aggressive Wellen an DDoS-Attacken

DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…

3 Tagen ago

Excel als Rückgrat deutscher Lieferkettenplanung

Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.

5 Tagen ago