Am kommenden Donnerstag will das OpenSSL-Projekt Patches für die gleichnamige Verschlüsselungssoftware veröffentlichen. Die Versionen 1.0.2a, 1.0.1m, 1.0.0r and 0.9.8zf schließen mehrere Sicherheitslücken. Von mindestens einer geht ein hohes Risiko aus.
Mehrere Sicherheitsforscher diskutieren auf Twitter unter dem Hashtag “openssl” über die Schwere des Fehlers. Sie hoffen, dass die Lücke nicht ähnlich schwerwiegend ist, wie der Heartbleed-Fehler. Die Schwachstelle mit der Kennung CVE-2014-0160 kam im vergangenen Jahr an die Öffentlichkeit.
Entdeckt haben sie die Sicherheitsfirma Codenomicon und der Google-Forscher Neel Mehta. Angreifer konnten die Sicherheitslücke ausnutzen, um auf den flüchtigen Speicher eines Webservers zuzugreifen. Auf diese Weise erhielten sie die Möglichkeit, Nutzernamen sowie Passwörter von Usern auszulesen. Der Fehler betraf Millionen von Servern. Die Sicherheitslücke bedrohte selbst zwei Monate nach Bereitstellung von fehlerbereinigten OpenSSL-Varianten immer noch rund 300.000 Server.
Angeblich soll der amerikanische Geheimdienst NSA die Heartbleed-Lücke für Spionagezwecke ausgenutzt haben. In einem Blog dementierte zwar ein hochrangiger Beamter des Weißen Hauses die Vorwürfe, räumte aber ein das einzelne Schwachstellen zurückgehalten wurden.
Um derartige schwere Fehler zukünftig zu vermeiden, hat das OpenSSL-Projekt beschlossen, zukünftigen Programm-Code von unabhängigen Spezialisten prüfen zu lassen. Vor wenigen Tagen gab die die angesehene Sicherheitsfirma NCC Group bekannt, dass es das sogenannte “Code Audit” durchführen wird.
[mit Material von Kai Schmerer, ZDNet.de]
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.
Mit KI können Unternehmen der Paketbranche Prozesse optimieren, Kosten einsparen und sich zukunftssicher aufstellen.
Land Niedersachsen schließt datenschutzrechtliche Vereinbarung mit Microsoft zur Nutzung von Teams ab.
Ein Großteil der Inventurdifferenzen im deutschen Einzelhandel wird durch Ladendiebstähle verursacht.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.